17 de septiembre de 2009

No dejes los datos abandonados, ellos no lo harían contigo

Y es que pasear por internet es como surcar las aguas de los canales en Venecia: todo muy bonito hasta que de vez en cuando posas la mirada en alguna esquina abandonada donde se acumula la basura.

Así ocurrió en el procedimiento sancionador PS/00705/2008, instruido por la Agencia Española de Protección de Datos a la entidad ABANIKO MEDIA, S.L., vista la denuncia presentada por D. R.R.R., que declaró:
“…que el año pasado participé en el concurso promocional online de la película "7 Mesas de Billar Francés", sito en “http://www....X..../.....” donde introduje mis datos personales al inscribirme (nombre completo, login, password, dirección, teléfono, edad y correo electrónico).
Tiempo después volví a entrar en dicha página web y ésta redirigió a “http://www....X..../...../links/” donde se listaban una serie de ficheros (listado que adjunto como documento n° 1). En uno de ellos (llamado prueba.php) se mostraba mi dirección de correo, mi login y password, así como el de todos los demás participantes (…)
Que a fecha de 28 de Mayo de 2008 este listado sigue disponible para su visualización por cualquier usuario de Internet, sin ningún tipo de control de acceso, y cuenta con aproximadamente 1500 usuarios, correos y contraseñas. Adjunto la impresión de este enlace “http://www....X..../...../linksprueba.php/” como documento n° 2 (mis datos aparecen en la página 23 de dicho documento) (…)
Que el password mostrado en esa web (*****) es mi contraseña habitual para el acceso a ciertas páginas y cuentas de correo, razón por la cual he tenido que modificar todas ellas, y es muy posible que buena parte de los 1500 usuarios mostrados en ese fichero se encuentren en la misma situación sin saberlo. Estas contraseñas se almacenan en texto claro, sin ningún tipo de seguridad o cifrado (…)
Que la web no contaba ni cuenta actualmente con ninguna dirección de contacto para ejercer mi derecho a cancelar, rectificar o modificar los datos personales exhibidos en ese fichero (…)
Que el periodo de concurso parece haber terminado pero la web sigue permitiendo inscribirse y no ha destruido mis datos ni los del resto de participantes.”
En resumen, típico ejemplo de acción promocional en internet de carácter temporal, que una vez terminada... nadie recuerda retirar, con el agravante en este caso de que además su estado de abandono deja al descubierto datos de carácter personal de 1.500 personas.

La sociedad Abaniko, propietaria del dominio en cuestión, alegó la participación en la gestión del sitio de muchas otras empresas: hosting, posicionamiento, programación, etc..., que en todo caso sería encargada del tratamiento, e incluso intenta culpar al propio denunciante al asegurar que:
sólo la pericia de alguien muy especializado podía haber aprovechado algún resquicio de vulnerabilidad en los sistemas (mucho más allá de lo razonable) para introducirse en el dominio con finalidades ilegítimas, y producto de mis averiguaciones he podido comprobar que la persona del denunciante se corresponde con un asiduo de páginas de (…)
Se aporta (…) Algunas páginas extraídas del buscador GOOGLE donde aparece relacionado el nombre de D. R.R.R., acreditativas de la cualificación y preparación en temas informáticos y de redes sociales de la persona que se corresponde con el denunciante
Y sin embargo, poco después presenta escrito en el que comunica:
“…No obstante a ello, y entendiendo lo difícil de llegar a concluir el expediente, por las numerosas sociedades intervinientes, desde la responsabilidad que ostento en la representación de ABANIKO MEDIA, S.L., y en aras de no perjudicar a la sociedad que represento, de conformidad al artículo 8 del Real Decreto 1398/1993, vengo a reconocer voluntariamente la responsabilidad de ABANIKO MEDIA, S.L. en los hechos inspeccionados, con el exclusivo fin, de conseguir una resolución lo menos gravosa posible a los intereses que represento, por cuanto la situación económico-financiera y de tesorería de ABANIKO MEDIA, S.L. se encuentran en estos momentos muy delicada, resultando incluso, el mantenimiento de los puestos de trabajo altamente comprometida…”
Al haber reconocido los hechos imputados se procede resolver el procedimiento iniciado, y así
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ABANIKO MEDIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

3 comentarios:

Anónimo dijo...

¿que decia yo? por eso resulta aconsejable asumir 6.000 € que arriesgarse a 60.000. Esto, que parece inocente, al final causa indefensión. Y además, la cuestión de la arbitrariedad, pues ni el reconocimiento de la culpa ni el ponerselo fácil al instructor están entre los motivos de aplicación del 45.5.

Pit.-

NFRMTC dijo...

No es ni el primer ni será el último caso de campaña temporal que se queda luego flotando en el hiperespacio de los datos, y ocurre por no fijar contractualmente de antemano quién es responsable de la retirada de la campaña a su finalización. Luego todos se hacen los locos.

Marketing Positivo dijo...

Pit: efectivamente recordé tus comentarios cuando estaba resumiendo esta resolución. Da bastante que pensar.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.