18 de mayo de 2009

Dime tu URL y te diré quién eres

El procedimiento sancionador PS/00459/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INTRASOFT, S.L. se inició tras el escrito de denuncia presentado por D. B.B.B. en el que manifestaba que a través de la página web de PERÍS CORREDURÍA DE SEGUROS, S.A. (en adelante PERIS):
(...) rellenó con sus propios datos personales los distintos formularios de datos requeridos para solicitar el seguro de su motocicleta. Y en el último paso, al finalizar la tramitación de dicha solicitud, y tras así ser requerido por la propia página web, imprimió el comprobante de solicitud de seguro.
En éste comprobante impreso figura la dirección URL http://www....X..../....../....../................
Con motivo de conservar una copia del comprobante en papel, introdujo la dirección URL que aparecía en el comprobante para imprimirlo de nuevo, observando cómo el comprobante de solicitud de seguro, con todos los datos de índole personal, bancarios y de salud, aparecía sin requerir ningún tipo de identificación personal, a través de un nombre de usuario y contraseña o cualquier otro medio de acceso seguro. Este hecho se comprueba en días sucesivos y desde ordenadores distintos.
D. B.B.B. no se conformó con esta prueba y además acudió a un notario:
Para que a través del ordenador de mi despacho entre en la pagina web http://www....X../..../.. y una vez en la misma compruebe por apreciación directa que los datos personales del requirente aparecen en la misma sin pedir ningún tipo de contraseña para ello. Acepto el requerimiento…comprobando que se accede a una página en la que aparecen datos de requirente y que en ningún momento se solicita nombre de usuario ni contraseña alguna. He impreso dicha pagina que queda unida a la presente acta.
Por su parte los inspectores de la AEPD comprobaron que modificando la ID de la URL citada se podía acceder a los datos de otras personas:
verificado que se visualizan los datos personales de doce personas físicas, sin que exista un procedimiento de identificación y de autenticación para el citado acceso.
Entre la información a la que se ha tenido acceso de las doce personas físicas se encuentra: nombre, apellidos, NIF, dirección postal, dirección electrónica, teléfono, fecha de nacimiento, estado civil, sexo, fecha de expedición y tipo de carnet, profesión, datos del vehículo, datos relativos a la póliza en vigor y cuenta corriente. También consta información relativa a: fumador, bebe habitualmente, practica deporte de riesgo, viaja frecuentemente, tensión máxima y mínima, peso y altura.
La correduría de seguros PERIS acreditó que tiene suscrito y en vigor un contrato con la empresa de informática INTRASOFT, en virtud del cual dicha entidad viene prestándole servicios de tratamiento de datos de carácter personal, asumiendo en virtud de dicho contrato y a todos los efectos la condición de Encargado de Tratamiento. Asímismo demostró que cumplía las obligaciones documentales de la LOPD y que había inscrito el correspondiente fichero en el RGPD, declarándolo de nivel alto.

INTRASOFT admitió:
(...) que los datos de ciertas personas que han solicitado un seguro han podido ser visualizados mediante este recurso (…) la causa por la que se esto ha podido suceder consistió, tal y como ahora hemos podido verificar, en un error en la funcionalidad del servicio web, no previsto y producido accidentalmente en un desarrollo (...)
En su recurso, la empresa informática intenta anular el proceso por haber prescrito (siendo su única opción, ya que por lo demás todo está muy claro) sin conseguirlo.
Por todo ello, en base a los criterios de graduación establecidos en el artículo 45.4 de la LOPD, y, en especial, a la falta de intencionalidad observada en el procedimiento, procede proponer la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INTRASOFT, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Esta Resolución ha sido recurrida.

5 comentarios:

Roberto García dijo...

Y aquí otra vez el Responsable del Fichero sale indemne de la Resolución, y eso a pesar de que la denuncia se dirigía expresamente contra la correduría. ¿Dónde quedó el "deber de velar" del que habla el Reglamento? Hay que ver el largo tiempo que se mantuvo el error. Parece ya sentarse una "jurisprudencia" que descarga toda la responsabilidad en las empresas de informática (siempre que se tenga correctamente redactado y firmado el correspondiente Contrato de Tratamiento).

NFRMTC dijo...

Esto me parece de juzgado de guardia:
DENUNCIA: 7/4/06
1ª COMPROBACIÓN AEPD: 10/5/06
2ª COMPROBACIÓN AEPD: 4/10/06
Es decir, que durante casi seis meses, sabiéndose los hechos, se mantuvo el error y por tanto la posibilidad de acceder a datos personales que ya se ha visto eran de nivel alto.
Independientemente de la investigación necesaria, la AEPD debería avisar de inmediato de un fallo de este tipo. ¿Lo hizo y no lo resolvieron? En ese caso la sanción me parece una broma, casi habría que cerrar la empresa. ¿No lo hizo hasta meses después? Entonces me parece que estamos ante una grave neglicencia de la AEPD.

Marketing Positivo dijo...

NFRMTC: sí que tiene miga el asunto, sí.
Yo sospecho que el error es de la Agencia, porque supongo que si tras avisar a la empresa comprueban que varios meses después el error persiste, no hubieran sancionado en cuantía mínima.

Anónimo dijo...

La verdad es que en cualquier denuncia que suponga un riesgo de seguridad deberia, rápidamente hacerse una inspección en la que, a la vez que investigan los hechos, informan al denunciado de la existencia del problema de seguridad. Claro, que como cada vez hacen menos inspecciones. Por otra parte, un enorme hueco de ¡5 meses! entre la primera comprobación y la segunda. Si continua aumentando el trabajo de la Agencia pero no los medios, vamos a verla como los juzgados.

Otro tema, la sanción al responsable del tratamiento, en lugar de al responsable, es lógico si están cubiertos por el correspondiente contrato.

Pit.-

Mar Lboro dijo...

Me pasmo del asombro. Si esto lo hace un hacker (mantener el conocimiento de un agujero de seguridad durante meses sin avisar a los dueños del sitio) lo mismo le aplican la picana.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.