6 de agosto de 2009

Hago "chas" y aparezco "gogleado"

El procedimiento sancionador PS/00687/2008, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS SAN MIGUEL DE ZARAGOZA, S.L., se inició a raiz de la denuncia presentada por DÑA. L.L.L. en la que indicaba que tras haber hecho un curso descubrió que introduciendo su nombre en el buscador de Internet GOOGLE aparecían todos sus datos personales, Nombre, Dirección, teléfono, Nº Seg. Social y dirección de e-mail, procediendo dicha ficha de la página web de la citada academia.

El centro de estudios explicó:
Debido a un desafortunado error técnico en la configuración de los equipos de comunicación (indebida apertura de un puerto en el router), una página destinada al uso interno del personal administrativo y de acceso restringido quedó temporalmente indexada por Google mostrando datos personales del alumno al realizar una búsqueda detallada…..”
En el instante que se produjo la incidencia…el responsable informático, corrige el error informático para evitar que se pueda acceder a la información a través del exterior del centro. Dicho error que permitió temporalmente acceder desde el exterior a esos datos, se produjo durante el proceso de actualización del servidor de información de Internet, quedando expuesta dicha información durante un periodo de tiempo no superior a 48 horas (…)

A la hora de establecer la sanción, el instructor indica:
Por otro lado, teniendo en cuenta que es un hecho aislado, con una duración temporal limitada, rápidamente corregida mediante las medidas adoptadas, tal como queda acreditado en el antecedente segundo, apartado b.2) y en las alegaciones a la propuesta de resolución posible apreciar la concurrencia de disminución de la culpabilidad y procede imponer la sanción en su cuantía de 2000 €.
Argumentos bastante razonables y además habituales en la aplicación del artículo 45.5 de la LOPD. Por eso sorprende que además se haya añadido este texto:
En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos.
Que yo recuerde este es un eximente novedoso: "empresa no vinculada directamente con las TIC". ¿Alguien lo conocía?

14 comentarios:

NFRMTC dijo...

Pues además de ser un argumento inédito me parece que configurar los puertos de un router difícilmente se consideraría "vinculado a profundos conocimientos técnicos".

Mar Lboro dijo...

Veda abierta para extender aún más el uso del 45.5
Está claro que en España el índice de empresas no vinculadas directamente al sector TIC será más del 90%, así que tu me dirás...

Anónimo dijo...

Entonces dice la AEPD:
"En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos."

Sin embargo, en la reciente recolución contra Arsys no ha sido tenido en cuenta que es una empresa totalmente vinculada a las TIC, y se le ha aplicado el 45.5, dejando en 6.000 € una sanción que ya con 60.000 € habria sido valorada en su grado mínimo.
Yo calificaria esto de aleatoriedad.
Pit.-

Marketing Positivo dijo...

NFRMTC: cierto, a mí tampoco me lo parece.

Pit: tienes razón, no había caído, y es que siguiendo este nuevo razonamiento de la AEPD, en el caso de Arsys casi debería considerarlo un agravante debido a su estrecha vinculación con las TIC. Otro misterio más de las resoluciones.

Nacho dijo...

"En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos.

Alucino...

Me tengo que repasar la Ley... que despiste el mio... me podéis recordar en que artículo está la sección "atenuantes por desconocimiento de las TIC"

En fin, anotaremos el atenuante, quizá pueda servirnos para una alegación futura...

Marketing Positivo dijo...

Nacho: estamos todos igual de despistados :P
Gracias por comentar

Anónimo dijo...

En general, la aplicación excesiva que se está haciendo del art. 45.5, llegando incluso a sobrepasar la legalidad, no me parece mal. Lo que me parece mal es que la única forma de hacer lo debido sea saltarse la ley. Y otro efecto colateral indeseable es que, una vez uno se acostumbra a sobrepasar la legalidad en casos apropiados, luego es fácil hacerlo en casos inapropiados.

Pit.-

Anónimo dijo...

¿Han visto en la resolución, que aparece el nombre de la denunciante, en el punto tercero de los hechos probados?
Pit.-

Anónimo dijo...

Todavía no me había leído la resolución, pero veo cosas que tienen mucha miga:

“b) Con fecha 19 de mayo de 2008, tiene entrada en esta Agencia un escrito del Centro de Estudios San Miguel, en el que ponen de manifiesto ”

Luego, no se realizó una inspección presencial, sino que se pidió la información por carta. Algo a lo que nos tienen cada vez más acostumbrados la Agencia. Los inspectores hacen cada vez menos inspecciones presenciales. Podremos ser comprensivos con los inspectores, dado el creciente numero de denuncias, pero no con la Agencia, que tendría que poner el número de inspectores necesarios para que las cosas se hagan como deben ser hechas. Y este no es un caso para hacer inspección “por carta”.

Dice el denunciado:

“Debido a un desafortunado error técnico en la configuración de los equipos de comunicación (indebida apertura de un puerto en el router), una página destinada al uso interno del personal administrativo y de acceso restringido quedó temporalmente indexada por Google mostrando datos personales del alumno al realizar una búsqueda detallada…..”

Pero para eso hace falta que el router haya sido diseccionado al servidor web interno, lo que no es precisamente un hecho accidental, sino intencionado, aunque sea un error.

Tambien dice:

“el responsable informático, corrige el error informático para evitar que se pueda acceder a la información a través del exterior del centro ”

Luego había un responsable informático. Habrá cosas complicadas en la configuración de routers, pero seguro que controlar al acceso/bloqueo de un servidor web no creo que esté precisamente entre ellas. La cuestión de la cualificación técnica queda entonces desacreditada. Ademas, el inspector debería haberse mojado el culo dando una explicación acerca de la facilidad/dificultad de realizar esta tarea, al fin y al cabo ellos son los expertos informáticos de la Agencia y deben poner sus conclusiones como tales.

Continua el denunciado:

“quedando expuesta dicha información durante un periodo de tiempo no superior a 48 horas”

Sin embargo, entre la presentación de la denuncia (27/12/2007) y la respuesta del denunciado (19/5/2008) transcurrieron mas de 5 meses. ¿Hay que creerse esa afirmación del denunciado?. En mi opinión, solo si se presentan pruebas que las respalden.

Según el denunciado:

“Se adjunta una hoja de incidencias correspondiente al día dd/mm/aaaa, donde figura que en esa fecha “una ex alumna del centro hace intentos de acceder a información del centro a través de la web, en una de esos procesos visualiza información especifica de ella, la cual solo debía estar accesible a través de la intranet corporativa, (…).se pone en conocimiento del centro dicha situación que tras ser analizada inmediatamente por el administrador del sistema y detectando un fallo en la seguridad de la configuración de los equipos de red… ”

Lo que no deja de ser una manifestación de parte, y un documento que podría perfectamente ser creado ad-hoc. La validez para mi es nula si no se obtiene en el momento de una inspección, verificando los inspectores su existencia previa.


En sus alegaciones el denunciado dice:

“Que no se ha visto afectada una pluralidad de personas”

Pero si los datos han sido indexados por un buscador y aparece una ex-alumna, seguro que aparecen todos los ex-alumnos. Esto no fue comprobado por el inspector.

Aparte quedan una pluralidad de manifestaciones acerca de las mejoras de seguridad que, por falta de inspección, no quedan probadas.

Pit.-

Roberto García dijo...

Vaya! el anterior comentario de Pit da justo en la diana de lo que quería comentar, que es el peligro de la excesiva "modulación" de las resoluciones.
Una vez que los instructores se "aficionan" a tomar posturas casi de legislador, es muy difícil pararlos luego, porque siempre podrán esgrimir los numerosos antecedentes.
Yo también estoy de acuerdo en usar el art. 45.5 para atenuar la excesiva dureza de la LOPD en según que casos, de hecho se supone que para eso se escribió. Pero si el texto legal ya deja en sí mismo suficiente margen de maniobra (y no cabe duda de que es así), es incomprensible que se inventen nuevos e innecesarios atenuantes.

Marketing Positivo dijo...

Pit: gracias por los completos comentarios. Lo de datos personales en las resoluciones no es la primera vez que ocurre, aunque se supone que esto no es una responsabilidad del instructor, sino del servicio administrativo que ha de "limpiar" el texto de toda referencia personal antes de su publicación.
Respecto al problema en la web, efectivamente y tal y como otro habitual comentarista (NFRMTC) ya había señalado, no se trata de ninguna complejidad informática (y menos para una empresa que dispone de "responsable informático"), pero la inspección ha pasado de puntillas sobre el asunto.
Y finalmente yo tampo me creí mucho eso de los pocos afectados y durante sólo un par de días. Esto no son más que manifestaciones de parte que exigen ser probadas y sobre las que la denunciada no aporta ninguna documentación.
En resumen hay que calificarla esta resolución (en mi opinión) como correcta respecto a la sanción, pero muy poco afortunada en lo que se refiere a la redacción.

Marketing Positivo dijo...

Roberto: se te echaba de menos por aquí ;-)
Gracias por el comentario

paco32 dijo...

hola, yo llevo desde febrero afectado por dos grandes empresas de servicios, bueno, en una de ellas mutiplicando estos delitos respecto a la proteccion de datos desde junio.
estos hechos me ha hecho informarme durante estos meses, sobre todo ultimamente, pero claro he de aclarar que tanto por mi preparacion academica, la cual es escasisima, como el hecho de que mi anvito laboral no tenga nada que ver hacen que mi situacion a la hora de defenderme sea si cave aun mas dificil.
aun asi, y creo tener que decir que gracias a mi constancia he consegido recoger mucha informacion sobre mis derechos, ademas poder con anterioridad interponer reclamaciones a estas empresas, y a posteriori por el des oeimiento denunciandolos en diferentes estamentos.
dire que lo mio y segun e podido leer seria lo mas grande que jamas ningun usuario alla podido sufrir.
he leido, o repasado, muchas sentencias, noticias sobre el mismo tema, pero en mi caso no veo que nada se acerque ni por asomo al caso que he denunciado y estoy viviendo, y menos, que alla podido ser sentenciado, como tengo la esperanza que este lo sea.
os situo resumido, si sois tan amables de atenderme.
pedi la baja mediante escrito, bien redactada y documentada, de los servicios de tv y adsl de esta empresa, siempre fuera de tiempo de permanecia contratada,
esta empresa me llama al recibirlo, y digamos que... me chantageo, diciendome que si me daba de baja de estos servicios le daria tambien de baja al numero fijo que compartian, yo les aclare por telefono que cumplieran mi peticion por que si no les reclamaria daños y demas, bueno pues llego el dia, y la amenaza se realizo, mande un par de burfax a esta empresa entre otras cosas, y cual fue mi sorpresa despues de esto, que al siguiente dia me encuentro que ya tengo linea, yo ya pensando que todo se avia areglado con mis movimientos, llamo como es normal despues de estos dias sin linea a un contacto, y este contacto me pregunta, ¿desde donde le llamo?, que salgo con otro numero diferente al mio, aclarando, me abian puesto una nueva linea sin consentimiento ni previo aviso, llamo ensegida a industria, al 902336699, me identifico y comento mi tema, me dan las formulas para hacerles llegar la reclamaccion, y sigo luchando con esta empresa para que me repongan mi numero, asi a las 48 horas me dejan de nuevo sin linea, otra vez sin consentimiento, y en este caso intentado esta empresa en tapar pruebas, y haciendo mil y una argucias, aunque ellos imagino que no sabian que en mi caso abia hecho uso de ese telefono para muchos de mis contactos y hasta llamando a industria.

paco32 dijo...

al final a los 13 dias de que me quitaran la linea, me la devuelven, bueno, luego para no alagar mucho, me cobran enganche, lo reclamo, me lo devuelven, y me pongo en marcha para denunciarlo, a todo esto pasan semanas y algun mes y no recibo respuesta por parte de esta empresa, ni esplicacion ni disculpa.
lo denuncio, llega a industria, industria me hace llegar en primera instancia la respuesta de esta empresa, en la cual no les consta nada, y basicamente no me indennizan, vamos me dejan como mentiroso, bueno, contesto a esta estancia, bien clarito, pidiendo que recuperen y rescaten llamadas, y bueno aludiendo a exponer todo lo que tengo como pruebas, que creo que no es poco.
esperando respuesta en segunda estancia.
y por cierto entre medias, ya habiendo trascurrido 6 meses del comienzo de estos hechos, me intereso por dos portavilidades via telefonicamente en el departamento de moviles de esta misma empresa,la cual me proporciona una serie de ofertas las cuales me hacen interesarme, de hecho me intereso tanto que llego a proporcinarles los datos personales, pero cuando pregunto por alguna clausula de estas portavilidades me hecho atras, dejo claro en la llamada que no los quiero, y que segire mirando aver si me decido,
para no alargar mucho, al final, me encuentro con que me llegan los telefonos via seur de esta empresa hasta mi casa, me llegan dos facturas identificando estas dos portavilidades indevidas y sin permiso, ademas de dos mensajes mandados por esta empresa de telefonia movil y referente a estas portavilidades al movil de mi mujer, pero hay no queda todo.
por que para colmo estas dos facturas, ademas de la direccion e idenficiacion que llege en buena voluntad a proporcionarles cuando me interese por ellos, me encuentro otra direccion antigua completa, portal, piso, puerta etc, la cual llevo mas de 10 años sin utilizar con ellos, ni con nadie, en ningun ambito.
asi que me he encontrado que despues de que no les constara nada en lo referente al corte que me hicieron hace 8 meses, me multiplican los abusos y delitos con estos hechos, estos ademas tanto o mas demostrables que los anterioriores, con los agravantes de que jamas aun, y an pasado 8 meses, me allan llamado para este tema, ni por supuesto respondido a ninguno de los muchos requerimientos por todos los medios que le he ido haciendo,
creerme es cierto esto que os cuento.
lo ultimo a sido mandar 5 documentos por burofax a este departamento de moviles, estoy a la espera de aver si al fin al menos me llaman y me toman algo en serio,
ahora ademas, personalmente les informe que llevo mas de un mes de baja, cosa que mi historial deja claro que es rarisimo en mi, por cierto no tengo 32 años.
lo dicho, no creo que tenga precedentes.
gracias por leerme

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.