3 de septiembre de 2009

Se lo llevó a casa un empleado

Hacía tiempo que no comentaba una sanción de la serie "se lo llevó a casa un empleado", para justificar la aparición en una red P2P de información con datos de carácter personal provenientes de una empresa.

En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.

Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.

Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.

Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.

Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.

Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:
Así, Oyonarte Inmobiliaria, S.L. estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación.
Aunque se utiliza en parte para justificar la aplicación del artículo 45.5 y por tanto una notable rebaja a la hora de aplicar el régimen sancionador:
En el presente caso, si bien la entidad imputada vulneró el principio de seguridad de los datos al no adoptar las medidas necesarias para evitar el acceso a los datos por parte de terceros, desde la óptica de la culpabilidad, ha de tomarse en consideración, como medida adoptada por la empresa, que el programa “eMule” no se encontraba instalado en los sistemas de la entidad, así como que no consta acreditada una actuación maliciosa por parte de la empresa, ya que la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet. Por ello se aprecia, en este caso, una disminución cualificada de la culpabilidad del imputado, aunque no una ausencia total de la misma, por lo que procede aplicar el citado articulo 45. 5 de la LOPD procediendo imponer a dicha empresa una sanción de 6000 euros.
Si tenemos en cuenta la redacción del punto sexto de los Hechos Probados:
El 2 de marzo de 2009, se emite propuesta de resolución por la Instructora del procedimiento en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Oyonarte Inmobiliaria, S.L. con dos multas de 60.101,21 € cada una, por las infracciones del artículo 9 y 10 de la LOPD, tipificadas como graves en el artículo 44.3.h) y 44.3.g) de dicha norma.
El desenlace de la Resolución queda bastante suavizado:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad OYONARTE INMOBILIARIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.
De lo que no hay mucha noticia es de los aspectos documentales de la LOPD. Me quedo con la duda sobre la existencia del Documento de Seguridad, sobre si el empleado que se llevaba el trabajo a casa era norma o excepción y si se registraban estas salidas de soportes informáticos, sobre la formación e información recibida por los empleados de la compañía, etc.

13 comentarios:

Anónimo dijo...

Yo no se en este caso, pero en mi empresa es habitual llevarse documentos en pendrive para trabajar en casa o durante el fin de semana

Rubén Mateo dijo...

Llevarse el trabajo a casa suena muy cutre para una empresa seria, que no sólo es por la LOPD, también por seguridad y por la normalización de los documentos.

Jesus Francisco dijo...

Estimado Jesús, no se como a estas alturas todavía te asustas de que no se lleve un control de "entradas/salidas" de soportes informatícos y ¿los que no son automatizados?. Te deseo mucha suerte en tu nueva andadura, no se me olvida que tú me metiste el gusanillo de la protección de datos con tus clases.
Suerte aunque somo competencia.

Roberto García dijo...

Si yo contara sobre algunos organismos internacionales... he visto documentación brillar más allá de cualquier puerta de seguridad, he visto pendrives deslizarse en los bolsillos de mucho funcionario... de todos estos recuerdos quizás quede algo en el emule.

Anónimo dijo...

Los pen no son buenos ni malos per se, depende de su uso. Lo que suele haber es una carencia de normas de seguridad y, entre ellas, la del uso de los dichosos pen, que son para la seguridad informática un autentico peligro cuando no están en buenas manos.
Lo que me ha parecido glorioso es eso de:
"la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet"
Esto es sencillamente falso. Seguro que el instructor que haya escrito esto no ha preguntado a un inspector. La configuración por defecto de emule es segura, pero si al usuario se le ha ocurrido compartir todo el sistema, pues la ha fastidiado.
Pit.-

NFRMTC dijo...

Lo peor de los pen es que muchos sistemas se los comen sin pasarlos por antivirus y se convierten en la via de entrada de virús.

Anónimo dijo...

Una porra: ¿cuanto tiempo medio creeis que se dispone por parte de un inspector para las actuaciones previas, y de un instructor para un sancionador?
Pit.-

Mar Lboro dijo...

Pit, a la vista está en las Resoluciones que menos del que necesitaría para hacer bien del todo su trabajo, pero a mí me intriga más porqué algunos asuntos tienen actuaciones presenciales y otros no, o dicho más claramente porqué en ocasiones la AEPD se queda en lo superficial y en otras va más al fondo, sin que parezca que tenga mucho que ver la gravedad o no de la vulneración denunciada.

Anónimo dijo...

@Mar Lboro: hay dos posibilidades por las que puede hacerse una inspección presencial a) que reciba instrucciones de hacerla b) que vea que es la única forma de poder conseguir los datos que necesita para cerrar las actuaciones previas. Luego están las razones para no hacerlas a) que no haga falta b) que el volumen de trabajo no lo permita c) que el tiempo consumido en realizarla comprometa otros trabajos c) las dificultades de desplazamiento (no olvidemos que tienen competencia en todo el territorio nacional, igual van a Coruña, que a Huesca o Tenerife). Y es que, ademas, el numero de inspectores no crece a pesar del incremento de denuncias, lo que tiene como consecuencia la reducción del tiempo disponible para cada denuncia. Para terminar de rizar el rizo, la Agencia tambien los usa en sus compromisos internacionales, mandandolos a reuniones sobre SPAM y cosas similares. Actualmente hay dos inspectores fuera de España permanentemente.
Pit.-

Marketing Positivo dijo...

A ver, a ver, que os dejo solos y montáis debates por vuestra cuenta ;-)

Por lo que se ve la AEPD ha entrado en la misma dinámica que el resto de la Justicia: falta de personal (mientras sobran miles de funcionarios en otras áreas) y en algunos casos falta de formación específica.

Paco dijo...

Tengo entendido que el número de funcionarios adscritos a la Agencia sí ha crecido en los últimos tiempos con la absorción de "sobrantes" de otros destino, como Correos, lo que pasa es que las denuncias han crecido a mucho mayor ritmo, y además la preparación y formación de los nuevos es bastante deficiente.

Anónimo dijo...

Me gustaría por curiosidad que alguien me resolviera 1 duda, a cuenta de esta sentencia publicad por dicha Ag., los máximos responsables son la empresa que no posee filtros de seguridad para evitar q esa información se "escape", pero a mi me gustaría saber en esta pr´´actica tan habitual en cualquier empresa, cuál es el costo para el empleado, si lo que existe es falta de intencionalidad o de dolo, cuando muchos se llevan el trabajo a casa, sin más, y sin que exista fuga real de datos a terceros. Algunos empleados acarrean exclusivam. esta responsabilidad sin q la empresa le dote de los medios necesarios para proteger esos datos, el único damnificado/a de cara al futuro es el empleado, al que pueden ejecutarle mediante despido disciplinario, pese a q ni siquierea como en esta sentencia se demuestra exposición de datos a 3ºs. ¿No les parece contradictoria la medida?. Y además para los q defienden q la seguridad de los pen depende en quien recaiga, habría q preguntarse por qué su empresa carece de medios o de simples filtros para proteger esos datos, esta actitud es hipócrita y falta a la verdad cotidiana.

Marketing Positivo dijo...

Anónimo: en el ámbito de la protección de datos el empleado nunca va a ser sancionado desde la AEPD, se considera siempre responsable a la empresa.
En otros ámbitos dependerá del tipo de contrato, circunstancias del trabajo, etc...

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.