En ocasiones pensamos que determinadas acciones no son punibles porque no están tipificadas en ninguna ley como infracción o delito. Ciertamente podríamos pensar que dar de alta un correo electrónico en una de estas listas no puede ser sancionado porque ¿dónde se prohíbe? Y en el peor de los casos ¿cómo me van a pillar?.

Quizá estas mismas preguntas se las hizo el que dio de alta una dirección de email en varias listas de distribución y ahora lo han multado con 60.000 euros (ojo, sesenta mil euros, no sesenta “coma” cero).

La multa ha sido posible por dos circunstancias:

1. : el considerar la dirección de correo electrónico como dato personal va a suponer que cualquier cosa que hagamos con el correo electrónico va a estar sujeto a la Ley Orgánica de Protección de Datos.
2. : el infractor no se molestó en ocultar su dirección IP, de modo que gracias a unos logs fue posible rastrearla hasta dar con el autor.

Además, como veremos, la propia Resolución sancionadora nos va a mostrar el procedimiento legalmente correcto para permitir que una dirección de email se suscriba a una lista de distribución.

Los hechos ocurrieron a finales de 2005 y principios de 2006, cuando D. X.X.X. recibió en su correo electrónico la confirmación para suscribirse a distintas listas de distribución; por supuesto él no había enviado ninguna petición de alta y no confirmó dichas altas.
Sin embargo, sí que comenzó a recibir mensajes de otras listas, sin que precediera el mecanismo de confirmación.

Estos hechos los puso en conocimiento de la Agencia Española de Protección de Datos, quien inició las correspondientes investigaciones.

De estas investigaciones se obtuvo la siguiente información:

• Que las solicitudes de alta en varias de las listas se produjeron desde 3 IPs distintas, IP-01, IP-02, e IP-03
• Respecto a IP-01: se contactó con el proveedor que tiene asignado el rango correspondiente a esa IP, que en este caso es AUNA Telecomunicaciones, y AUNA informó que el usuario conectado desde esa IP en la hora y minuto correspondiente a las altas en las listas, lo hacía desde el número de teléfono 12345678.
• Respecto a IP-02: Telefónica comunicó que esa IP está asignada a una compañía determinada, a través de su filial alemana Colt Telecom BMBH, no disponiendo de la información relativa a los ficheros de log de conexión.

• Respecto a IP-03: fue imposible identificar a la entidad que tiene asignado el rango de direcciones al que corresponde.

De este modo, la única pista disponible y fiable era el número de teléfono utilizado para conectar y utilizar IP-01.

Solicitada información sobre la titularidad del número 12345678, se confirmó que pertenece a Servicios Informáticos Especializados en el Tratamiento de Empresas, S.L. (en adelante SIETE).

Según la inscripción que consta en el Registro Mercantil Central, la entidad SIETE tiene por objeto social la “instalación de ordenadores y programas, la asistencia técnica a empresas y particulares, diseño de páginas Web, alquiler no financiero de equipos informáticos, así como la prestación de servicios de reparación de los mismos, etc.”.

La entidad SIETE declaró a la Agencia que en el objeto de la sociedad figura el “alquiler no financiero de equipos informáticos” y que el día que se produjeron las solicitudes de alta, alquiló “un ordenador con acceso único a Internet a N.N.N. que solicitó este servicio temporal y puntual por cuestiones propias”. La compañía, no obstante, no aportó ningún tipo de documentación que pueda acreditar este extremo.

Añade, que la entidad se creó en abril de 2005, sin que durante ese ejercicio se contratase trabajador alguno, de modo que las únicas personas que pudieron acceder a los ordenadores para registras las altas del denunciante en las listas de distribución que se citan en las denuncias presentadas fueron el mencionado D. N.N.N. y el administrador de SIETE, que tiene conocimientos suficientes para imposibilitar la localización de la dirección IP de su mercantil.

Es decir, les está diciendo a la Agencia “oiga miren, yo no he sido, pero es que además, si hubiera querido hacerlo, no me habríais pillado porque hubiera ocultado la IP”.

Se suceden entonces una serie de intentos de quitarse el problema de encima o de intentar demostrar sin éxito su inocencia.

Entrando ya en los fundamentos de derecho, la AEPD afirma que “en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda suplantar la identidad de un tercero. Esta identificación de un usuario que accede a la Red exige conocer la dirección o direcciones “IP” asignadas a la conexión, así como los datos de tráfico disponibles. El
“TCP/IP” se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección “IP” numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección “IP” del emisor y del destinatario.”

“A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios de Internet a los que han asignado direcciones “IP”. Un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histórico con la dirección “IP” (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la asignación de la dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.”

“En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc).”

“Así, ha quedado probado que, en los cuatro casos mencionados, el formulario de alta para las suscripciones respectivas fue cumplimentado desde la dirección IP-01”, asociada a la línea telefónica número “12345678”, cuya titularidad corresponde a la entidad SIETE.
Por tanto, queda probado que dicha entidad trató los datos del denunciante sin su consentimiento, por lo que se considera infringido el artículo 6.1 de la LOPD”

Llegados a este punto, a mí personalmente se me hiela la sangre de pensar lo que me podría pasar (a mí o a cualquier internauta) si el día de mañana se infecta mi ordenador con algún tipo de gusano o troyano y que mi conexión sea utilizada para, por ejemplo, enviar spam o realizar actividades como las descritas en este artículo; o que sencillamente el vecino descubra la contraseña de mi red WiFi y realice actividades ilícitas.

Estimo que habría sido necesario acudir a los locales de SIETE, examinar los ordenadores y buscar algún indicio o prueba de que efectivamente se hubieran realizado las solicitudes de alta desde SIETE, y no guiarnos directamente por la dirección IP como si de una muestra de ADN se tratase.

Creo que se están sucediendo algunas resoluciones y sentencias en estos términos, donde la IP está siendo determinante como prueba y no como mero indicio. La presunción de inocencia no debería ser destruida por la simple existencia de unos números (IP) en un fichero de texto (log) de un proveedor de servicios…

En fin, como ya avancé, a SIETE se le termina imponiendo una multa de 60101 euros por vulnerar el artículo 6.1 de la Ley Orgánica de Protección de Datos, artículo que establece el principio de información, y que exige el consentimiento del interesado para el tratamiento de sus datos personales (el email en este caso), cuando no existan excepciones para su tratamiento.

Descargar Resolución

No obstante algunas empresas ya han descubierto la técnica para poder seguir enviando esta clase de mensajes prohibidos, por ejemplo, del tipo “Hemos registrado 3 premios sin reclamar de Septiembre 2007 en tu numero de movil. Para recibirlos envía GO al XXXX NEXUS EL.2/smsMin7”.
Por supuesto, el destinatario no ha participado en ningún sorteo, y naturalmente tampoco le han tocado 3 premios, pero no pocos son los que caen en la trampa y envían esos mensajitos.
De este tipo de SMS – pseudoestafa hablamos en su día aquí.

Pues bien, como decía, algunas empresas ya han descubierto como seguir operando con toda tranquilidad e impunidad, y para explicar esto partimos de una Resolución donde está implicada la famosa Movilisto (famosa por la cantidad de quejas y denuncias que arrastran).

Para comprender exactamente la forma de burlar la LSSI es preciso primero indicar cual es su ámbito de aplicación, esto es, hasta donde llega la LSSI territorialmente hablando.
El artículo 2 expresa:

“Esta Ley será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos”

Además, el artículo 3 amplía:

“…esta Ley se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España…”

Por último concluye el artículo 4:

“A los prestadores establecidos en países que no sean miembros de la Unión Europea o del Espacio Económico Europeo, les será de aplicación lo dispuesto en los artículos 7.2
y 8”

Ya veremos como los artículos 7.2 y 8 no se aplican al supuesto de envío de comunicaciones promocionales o de publicidad por vía electrónica.

Llegados a este punto, más de un lector ya habrá percibido por dónde pueden ir los tiros.

El ámbito de aplicación de la LSSI no va a ir más allá del propio territorio español, y del espacio de la Unión Europea o del Espacio Económico Europeo. Esto quiere decir, que a una empresa establecida fuera de este ámbito no le será de aplicación la LSSI.

Así que la cosa sería tan sencilla como abrir una empresa, por ejemplo, en Camboya, y desde allí, utilizando los servicios subcontratados de alguna empresa en España, enviar los SMS con publicidad.

Pero ¿esto se hace realmente?, pues parece que sí. De hecho existe al menos una cadena de 4 empresas que se van “pasando la pelota” (partiendo de Movilisto) hasta que llega a la última que se encuentra fuera del ámbito de aplicación de la Ley y ahí termina todo.

Estamos hablando de que en la cúspide tendríamos a Grupo Itouch Movilisto España, S.L., por debajo a MD Telepromociones, S.L., a continuación encontramos a Froggie, S.L., y por último llegamos a Interband LLC, que es la entidad que materialmente envía los mensajes y que se encuentra en, por ejemplo Camboya.

Con este esquema se aprecia más fácilmente:

¿Qué relaciones existen entre estas empresas? ¿Para qué?

Pues veamos un ejemplo; imagina que te llega un día un mensaje a tu móvil con el texto antes citado: “Hemos registrado 3 premios sin reclamar de Septiembre 2007 en tu numero de movil. Para recibirlos envía GO al XXXX NEXUS EL.2/smsMin7”.
Te parece raro que te llegue este tipo de mensajes porque ni tú mismo sabes el número de tu móvil porque es nuevo… Alguien te comenta noseque de la protección de datos y que puedes denunciar estas cosas (gratis) ante la Agencia Española de Protección de Datos; así que les envías la denuncia con toda la información, y los inspectores se ponen a investigar.

Rápidamente descubren que el número corto al que se te indicaba enviar el SMS pertenece a Movilisto, y van a preguntarles:

1º: Movilisto: según el propio Movilisto, él se limita a poner a disposición del comercializador, diferentes números cortos, prestando la asistencia técnica que habilita al propio comercializador a ofrecer sus servicios SMS a terceros, e indica quien concretamente tiene asignado ese número corto a:

2º: MD Telepromociones: esta empresa es “el comercializador” del punto anterior. De forma que Movilisto, mediante un contrato, le ha puesto a disposición de MD Telepromociones unos números cortos. PERO, MD Telepromociones afirma que ella lo único que hace es limitar su intervención a su condición de proveedor de acceso, en los términos señalados en el artículo 14 de la LSSI (de momento seguimos dentro de España), esto es, como mero prestador de un servicio de intermediación, facilitando el acceso a la red al destinatario del servicio, sin que por su parte se hayan originado la transmisión, modificado los datos, o seleccionado éstos o los destinatarios de dichos datos. Le pasa la pelota a Froggie S.L. que dice MD Telepromociones que es a quien tiene contratado el servicio.

3º: Froggie: Froggie afirma que ella está actuando como mero intermediario, que no tiene nada que ver con el envío de ningún mensaje, que eso habrá sido Interband LLC que es la empresa que tiene contratado ese número corto, en virtud de un contrato que dice textualmente “Que la entidad Interband LLC, en adelante el Proveedor de contenido tiene intención de promocionar y comercializar contenidos dirigidos a los usuarios de teléfonos móviles, utilizando los productos y servicios ofrecidos por el Gateway”, refiriéndose a Froggie S.L., figurando en la segunda estipulación de dicho contrato que “El Gateway a los efectos del presente contrato asignará al proveedor de contenido el número o números y alias que sean solicitados, de acuerdo con las condiciones que se establecen en el presente contrato.”

4º: Interband LLC: a estos es que ni siquiera llegarán a dirigirse, porque verán que es una entidad que está en Camboya, fuera del ámbito territorial de la ley, y que no hay agentes o sucursales operando en España, por lo que se archiva directamente la denuncia.

Mientras se investigaba el caso, miles de nosotros, los usuarios españoles, hemos estado recibiendo esta clase de mensajes, y seguramente, mientras estás leyendo esto alguien sigue recibiendo esos mensajes.

Esto que hemos relatado es un caso real, desde aquí podéis descargar la resolución de la Agencia Española de Protección de Datos.

Ahora, como opinión personal: ¿Quién termina lucrándose de estas cosas?… pues en mi opinión la empresa que se encuentre en la cúspide, en este caso Movilisto.
Ella cobrará por los servicios de prestación de números cortos, y seguramente le interesa que exista un gran volumen de mensajes, así que estoy convencido que o bien es la propia Movilisto quien se encuentra en el primer y último escalón o bien a Movilisto no le molesta que empresas como Interband utilice finalmente sus servicios, porque eso le supondrá más ingresos… eso sí, ingresos a costa de humildes ciudadanos engañados vilmente.

Estas multas pretenden tener un carácter educador - educación que recibirá el infractor en su bolsillo - y con toda seguridad tendrá más cuidado en el futuro, además de abstenerse en su conducta ilícita.

Ahora bien, no es lo mismo que quien incurra en infracción sea un particular o una empresa, que una Administración Pública; mientras que los primeros tendrán una buena educación pecuniaria, los segundos, esto es, por ejemplo, Ayuntamientos, Cuerpos y Fuerzas de Seguridad del Estado, Ministerios, etc, tendrán una educación diferente.
Y es que, a la Administraciones Pública no se les sanciona con una multa económica como al resto, sino una mera declaración de infracción. ¿Qué significa esto de declaración de infracción?; pues significa que si quien publica datos en Internet es una Administración Pública, no será sancionada con 300.000 euros de multa, sino que simplemente se dejará constancia por escrito de que se ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos, y ya está.

Esto siempre me ha llevado a pensar si realmente la Administración se va a tomar en serio alguna vez lo de la protección de datos; yo creía que no, pero hasta ahora no había encontrado ninguna prueba clara al respecto.

Hoy vamos a demostrar como el sistema actual para persuadir a las Administraciones que cumplan con la protección de datos no es el adecuado (porque no nos engañemos, el 99% de las empresas que se molestan en adecuarse a la ley lo hacen para que no terminen sancionándoles).

En enero de 2006 D. X.X.X. presentó un escrito ante la Agencia Española de Protección de Datos en el que denunciaba que el Instituto Aragonés de Empleo (en lo sucesivo INAEM) utilizaba un fichero de datos personales respecto a ofertas de empleo, desconociendo cuál era el órgano administrativo responsable y su ubicación, y, que, al parecer, no se encontraba inscrito en el Registro General de Protección de Datos.

Tras la recepción de la denuncia, la Subdirección General de Inspección inició las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, durante las cuales se tuvo conocimiento, de acuerdo con la información del INAEM, de que la finalidad del fichero utilizado en el marco de la oferta denominada “Expoagua Zaragoza 2008” era exclusivamente interna, para la gestión de todas las solicitudes de personas interesadas en participar en los distintos procesos de selección generados con esta ocasión. En estos procesos era necesaria la utilización de una base de datos con el fin de generar un fichero que contuviera los datos de carácter personal necesarios para realizar las correspondientes comunicaciones.

Se comprueba que efectivamente no hay ningún fichero inscrito en el Registro General de la AEPD para estas finalidades ni tampoco del responsable del fichero correspondiente.

4 meses después, y antes de que se resuelva el expediente, el INAEM comunica que se ha publicado en el Boletín Oficial de Aragón, el Decreto correspondiente por el que se crea el fichero de datos de carácter personal denominado “Procesos de Selección Técnica de Personal“.
Naturalmente ya es demasiado tarde, porque la Ley exige que el fichero se declare ANTES de que se inicie la recogida de los datos; por lo tanto, está acreditado que el Instituto Aragonés de Empleo creó un fichero de titularidad pública y procedió a iniciar la recogida de datos de carácter personal con anterioridad a la publicación de la correspondiente disposición en el Boletín Oficial de Aragón, conducta que supone la vulneración del articulo 20 de la LOPD.

Finalmente, la Resolución termina en afirmar que el Instituto Aragonés de Empleo ha incurrido en la infracción grave descrita en el artículo 44.3.a por los hechos que hemos comentado.

Y aquí es cuando viene lo interesante; en este punto, el Director de la AEPD es cuando debería indicar la cuantía de la multa, que en caso de ser infracción grave serían 60.000 euros como mínimo. PERO, como nos encontramos ante una Administración ¿qué pasa?, pues que:

PRIMERO: DECLARAR que el INSTITUTO ARAGONÉS DE EMPLEO ha incumplido lo dispuesto en el artículo 20.1 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.a) de la citada Ley Orgánica.

SEGUNDO: REQUERIR al INSTITUTO ARAGONÉS DE EMPLEO, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 20 de la LOPD.

Ya está, no hay euros de por medio.

Pero no terminemos aquí; sigamos la pista a este procedimiento y al Instituto Aragonés de Empleo.

La Resolución se firmó el 26 de octubre de 2007, y como comentamos, el Instituto procedió a publicar en el Boletín Oficial de Aragón la creación de un fichero denominado “Procesos de Selección Técnica de Personal“ en mayo de 2006; recordemos que esto lo llevó a cabo MIENTRAS se estaba tramitando el expediente sancionador (vamos, tan pronto tuvieron conocimiento de la denuncia se pusieron a hacer los deberes). Sin embargo, para declarar e inscribir correctamente un fichero de titularidad pública, hay que hacer 2 cosas: primero, publicar en el Boletín Oficial correspondiente la disposición general de creación del fichero, y segundo, notificar esta información, formalmente, a la AEPD para que procedan a inscribir en el Registro General ese fichero. Son dos obligaciones distintas.

La primera la cumplió el Instituto durante la tramitación del procedimiento, pero una vez finalizado ¿habrá completado el trámite?. Pues no, del fichero “Procesos de Selección Técnica de Personal” no se sabe nada en la AEPD; de hecho es que no hay ningún fichero declarado cuyo responsable sea el Instituto Aragonés de Empleo.

De forma que el Instituto está incurriendo actualmente en una infracción de la LOPD porque el fichero sigue sin estar declarado en la Agencia. ¿Por qué sigue en una situación irregular?; seguramente porque una vez finalizado el procedimiento y viendo que “aquí no pasa nada” se habrán olvidado por completo del tema.

Cabe preguntarse, ¿si le hubieran impuesto una multa de 60.000 euros habrían concluido todo el proceso legal para no exponerse a otra multa?.

Descargar Resolución aludida

En 2001, con motivo de la denominada operación “Mediterráneo”, se detuvo a D. X.X.X., a quien se le incautaron 2 ordenadores y una cámara fotográfica por parte de la Guardia Civil para su estudio.

D. X.X.X. fue condenado a un año de prisión como cómplice de un delito contra la salud pública. Saldada su deuda con la justicia, consiguió que en 2005 se ordenase la devolución de su material incautado.
Con los ordenadores y la cámara en su poder, intentó recuperar sus antiguos documentos utilizando alguna aplicación de recuperación de ficheros, y lo cierto es que la aplicación debió funcionar bien porque recuperó cientos de documentos confidenciales de investigaciones de la Guardia Civil en relación a seguimientos de sospechosos y escuchas telefónicas entre otras cosas. Además, en la tarjeta de memoria de la cámara encontró decenas de fotografías de investigados y sospechosos.

Resulta evidente que el material informático fue utilizado por la Guardia Civil durante el tiempo que permaneció incautado, y que una vez devuelto no tuvieron las diligencias oportunas para evitar el recuperado de información, y que por otra parte no cumplía con las medidas de seguridad exigidas por ley porque, según manifestaciones de la Guardia Civil, esos ordenadores no fueron conectados a la red corporativa y por tanto no era necesario instalar medidas de seguridad.

En abril de 2008, la Agencia Española de Protección de Datos se ha pronunciado al respecto, declarando que la Guardia Civil ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos.

Para conocer los detalles de los hechos, click en

El 28 de noviembre de 2005 apareció esta noticia en El Mundo. La Agencia Española de Protección de Datos inició entonces la fase de actuaciones previas de investigación con la intención de aclarar los hechos, sin embargo, el propio afectado, D. X.X.X. formuló denuncia por estos mismos hechos apenas 3 semanas después, por lo que la obtención de pruebas y testimonios se aceleró.

El denunciante, que no olvidemos fue condenado por un delito contra la salud pública, aportó junto a la denuncia un CD con 425 ficheros de tipo diverso, conteniendo fotografías de investigaciones, imágenes digitalizadas mediante scanner de documentos de identidad (pasaportes y documentos nacionales de identidad), trascripciones de conversaciones, e informes de operaciones. Las subcarpetas contienen, una de ellas, ficheros protegidos con contraseña y, la otra, ficheros con extractos de conversaciones intervenidas.

La Inspección de Datos le cuestionó a la Guardia Civil sobre estos hechos y sus respuestas las podemos resumir en lo siguiente:

• 1º: que no se solicitó autorización judicial para hacer uso del material informático, ya que, según indican, al tratarse de hardware no oficial no se permite la instalación de programas oficiales.

• 2º: que antes de entregarse a su propietario se realizó un formateo lógico de todo el disco duro.

• 3º: los ordenadores no fueron utilizados dentro de la red corporativa de la Guardia Civil, circunstancia por la cual no le fueron instaladas medidas de seguridad en el tratamiento de la información.

• 4º: los ficheros que se adjuntan en el CD de la denuncia, pertenecen a investigaciones judiciales realizadas por el equipo E.D.O.A., información que ha sido incorporada a los diferentes procedimientos judiciales a que ha dado lugar habiendo recaído sentencia pública en muchas de las investigaciones citadas.

• 5º: que cuando salió la noticia en El Mundo, se iniciaron los procedimientos judiciales para instar al señor X.X.X. la devolución del material informático correspondiente, con la intención de enviarlos a un laboratorio para determinar el contenido y funcionamiento del mismo.

En conclusión, parece que las prácticas habituales de la Guardia Civil es utilizar el material informático incautado, y además, una vez que debe ser devuelto a su propietario, simplemente formatean los discos duros con algún procedimiento estándar.

Como bien indica la AEPD en su resolución sancionadora:

“El formateado lógico del disco duro de un ordenador no borra físicamente la información del mismo, sino que realiza una reasignación de sus sectores, ( o mas concretamente de una determinada partición del disco, si éste tuviera varias), del tal forma que, si bien se pierde la vieja asignación que permitía acceder a los archivos, estos no son eliminarlos del disco, siendo posible, por tanto, mediante la utilización de herramientas informáticas de recuperación de archivos sencillas, volver a acceder a los mismos y proceder a su restauración. Indicar también, que al eliminar un archivo mediante el sistema operativo, la operación de borrado no asegura la destrucción de información contenida en el archivo, siendo posible la recuperación de la misma con las citadas utilidades informáticas.”

Lo cierto es que los hechos descritos bien podrían suponer responsabilidad criminal por parte de los responsables correspondientes en la Guardia Civil, pero en nuestro caso vamos a ver la posible responsabilidad administrativa por vulneración de la Ley Orgánica de Protección de Datos.

El artículo 10 LOPD dispone:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Por tanto, el deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.

Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

En el caso que nos ocupa, ha quedado acreditado que la Guardia Civil, entregó al denunciante dos ordenadores que le fueron incautados en marzo de 2001, con motivo de las Diligencias Previas seguidas por delito de tráfico de drogas, y que dichos ordenadores contenían, en el momento de su entrega al denunciante, archivos de diversos tipos en los que figuraban datos de carácter personal relativos a investigaciones policiales, realizadas por la propia Guardia Civil durante el período en el que tales ordenadores permanecieron en depósito en las dependencias de la Comandancia correspondiente.

En consecuencia, queda probado que los ordenadores en cuestión fueron utilizados por la Guardia Civil después de ser incautados al denunciante y que no se adoptaron las medidas pertinentes para que la información recogida en los mismos fuera eliminada de los respectivos soportes informáticos, antes de su devolución al mismo. La Guardia Civil, según sus propias manifestaciones, se limitó a realizar un formateado lógico del contenido de los discos duros de aquellos ordenadores, que no borra físicamente la información de los mismos y que permite su recuperación y restauración mediante herramientas informáticas de recuperación de archivos sencillas.

Se trata de una información que no puede ser facilitada a terceros. Por tanto, queda acreditado que por parte de la Guardia Civil, responsable de la custodia de los datos en cuestión, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que un tercero tuviese acceso a datos personales sin el consentimiento de los afectados y sin que existe habilitación legal para ello.

Todo esto concluye en declarar que la Dirección General de la Policía y de la Guardia Civil ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica.

Y ya está, la consecuencia jurídica de que una Administración Pública vulnere la Ley Orgánica de Protección de Datos es simplemente esa: declarar que se ha cometido una infracción, pero no hay, en absoluto, multas pecuniarias ni nada parecido. Si esta misma infracción se le hubiera imputado a una entidad privada o a un particular responsable del fichero, seguramente la sanción habría sido una multa de 300.000 euros, pero como digo, en el caso de tratarse de Administraciones Públicas, es simplemente un papel que pone “Declarar que la Dirección General de la Policía y de la Guardia Civil ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica“.

Finalmente, es por estos motivos por los que defiendo (creo que en solitario) que las medidas de seguridad que exige el Real Decreto 1720/2007 en relación al sistema de identificación y autenticación se deben aplicar, no al sistema operativo (que también) sino a la información o al contenedor de la información. Por ejemplo, si nuestro sistema de información está compuesto por un servidor con los datos, al que se conectan unos terminales, es evidente que el sistema de identificación y autenticación se implementará para el acceso a la base de datos; pero si la información está compuesta por un número de ficheros informáticos, como en el caso de la Guardia Civil, documentos Word y demás, es insuficiente que para iniciar sesión en el sistema operativo se exija usuario y contraseña para evitar el acceso no autorizado ya que, como ha quedado demostrado en este caso, es posible acceder a la información sin identificarse ni autenticarse; por tanto, el mecanismo debería aplicarse al fichero material, en este caso, a los ficheros Word: se puede optar por poner una contraseña a cada fichero o bien crear una partición cifrada y poner allí todos los documentos (lo recomendable), cualquiera de estas dos opciones habría evitado que D. X.X.X. hubiera podido acceder a la documentación confidencial, y por tanto, no habría existido vulneración de la LOPD.

De hecho creo que este es el propio espíritu de la Ley Orgánica y es en lo que estaba pensando el legislador cuando definió “sistema de información” como “conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.”

Si a este desconocimiento de la legislación le sumamos la poca concienciación que existe en el ámbito empresarial de entender que el activo más valioso para cualquier profesional son los datos de sus clientes, nos encontramos con que la mayoría de los sistemas de información no cumplen unos requisitos mínimos de seguridad, como la del caso que vamos a examinar en relación a la existencia de un mecanismo de identificación y autentificación, o lo que es lo mismo, de usuario y contraseña (normalmente).

Porque en efecto, tanto la regulación actual como la anterior, imponen la obligación de que para acceder al fichero con datos de carácter personal exista un mecanismo de estas características.

En este caso el sancionado ha sido un abogado, por denuncia de un particular; para seguir leyendo haz click en

En agosto de 2004, la Agencia Española de Protección de Datos recibió una denuncia de un particular, en la que, entre otras cosas, informaba que el abogado D. I.I.I. tiene una base de datos con los clientes de su despacho, sin las medidas de seguridad que exige la ley.

Personados los inspectores en este despacho se comprobó que el denunciado dispone para el desempeño de su actividad profesional de un fichero automatizado que contiene datos relativos a nombre, apellidos y número de teléfono de sus clientes, y en algunos casos, dirección postal y/o electrónica y número de fax.

Según manifestó el denunciado, su fichero no dispone de medidas de seguridad y, según constataron los inspectores actuantes, el acceso a la base de datos (o fichero) no se encuentra protegido mediante la introducción de un código o contraseña.

Y es que en efecto, tanto la regulación actual, esto es, el Real Decreto 1720/2007 como el ya derogado Real Decreto 994/1999, establecen la exigencia de disponer de este tipo de mecanismos informáticos, en concreto, el artículo 93 del R.D. 1720/2007 indica:

“Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”
Como vemos, no sólo es obligatorio que exista, por ejemplo, una contraseña de acceso, sino que además, esa contraseña, por ley, debe ser cambiada cada año como máximo, o lo que es lo mismo, debe tener un periodo de caducidad de un año como máximo. Algo que también es desconocido por la mayoría de las empresas.

Siguiendo con el caso del abogado, éste alegó, entre otras cuestiones, que su bufete dispone de sistemas de alarma, puerta blindada, cerradura de seguridad, cerradura en el cuarto de archivo y seguridad en su despacho y que el sistema de información posee un antivirus.
Todo esto está muy bien, pero lo cierto es que la ley es muy clara en este sentido, si no hay un mecanismo que permita identificar y autenticar a los usuarios en el acceso a la información, estamos infringiendo el artículo 9 de la Ley Orgánica de Protección de Datos que establece el principio de seguridad y cuyo desarrollo reglamentario actual es el Real Decreto 1720/2007.

Curiosamente, el abogado disponía de un Documento de Seguridad en el cual se especificaban precisamente los mecanismos de identificación y autenticación de los usuarios, pero era sólo sobre el papel, porque en la realidad no era así… este suele ser otro de los grandes errores por parte de las empresas, creen incorrectamente que disponer de un Documento de Seguridad ajustado a la ley les hace cumplir “con esto de la protección de datos”.

Finalmente se resuelve en determinar que el abogado ha infringido el principio de seguridad de datos consagrado en el artículo 9 LOPD, pero que en atención de determinadas circunstancias (aplicando el 45.4 LOPD), en vez de una multa de 60000 euros (que hubiera sido lo normal) se le sanciona sólo con 600 euros.

Descargar Resolución

Pues bien, el legislador debe extremar la diligencia a la hora de redactar una norma para no incurrir en este tipo de errores gramaticales u ortográficos, pues si bien con posterioridad podrá publicar la correspondiente corrección de erratas, lo cierto es que puede dar una sensación de vagancia técnica.

Todo esto lo traigo a colación por la redacción del artículo 5.1.q del Real Decreto 1720/2007, que literalmente expresa a la hora de definir el responsable del fichero o tratamiento como “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.”.

¿Dónde está el problema en esta redacción?. Para seguir leyendo haz click en

Antes de entrar en detalles, hagamos un poco de historia y veamos de donde procede, inicialmente, la definición de responsable del fichero o tratamiento que tenemos actualmente en el RD 1720/2007:

1º: En orden cronológico tenemos primero la Directiva 95/46/CE que define en el artículo 2.d al responsable del tratamiento, e indica que es: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos ,personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario.”

2º: De esta Directiva tenemos en el derecho interno la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, que también define al responsable del fichero o tratamiento en el artículo 3.d como: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

Ups, aquí parece que el legislador nacional se comió parte de la definición, pues si bien la Directiva permite un tratamiento conjunto de un fichero respecto a varios responsables del fichero o tratamiento, con la redacción de la actual LOPD, se excluye esta posibilidad y solamente cabe un tratamiento individual, es decir, en singular.
Esto puede parecer una tontería, pero existían ciertas presiones por parte de algunos órganos europeos para que se modificase nuestra redacción del artículo 3.d y se especificase claramente en los mismos términos que la Directiva….

Pero bueno, no pasa nada, porque el problema queda resuelto con la definición que se hace en el Real Decreto 1720/2007 respecto al responsable del fichero (que ya sí han querido contemplar la posibilidad que preveía la Directiva).

3º: Así pues tenemos, en tercer lugar cronológico, al Real Decreto 1720/2007, que también define, con ánimos de completar, el término responsable del fichero: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.”

¿Dónde está el problema?. El problema está en que donde pone “sólo” debería poner “solo”, porque no es lo mismo.
Además, si nos fijamos, es como si hubieran “copiado” el texto de la Directiva (que tiene el mismo error ortográfico) y lo hubieran “pegado” (copy&paste) en el R.D. 1720/2007.

¿Qué diferencia hay entre sólo y solo?. Pues el primero, “sólo”, es un adverbio de modo y el segundo “solo” es un adjetivo. Solamente cuando en un enunciado concreto la palabra “solo” pueda entenderse como adverbio y como adjetivo, de manera que el sentido resulte ambiguo, llevará tilde diacrítica en su uso adverbial. Pero es que aquí, el uso de la palabra “solo” no debería ser el de adverbio, sino el de adjetivo, porque lo que se está indicando es que el responsable del fichero podrá decidir por él mismo (solo, en solitario) o de forma conjunta, la finalidad y usos del fichero.
Poner la tilde y por tanto convertir en adverbio la palabra “solo”, hace que la definición puede ser leída así: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solamente/únicamente decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.
O sea, que el responsable del fichero solamente puede decidir sobre la finalidad, contenido y uso del tratamiento, ya está.
El cambio es sutil, pero de cierta importancia.
Pero es que además, independientemente de su función, al tratarse de una palabra llana terminada en vocal debe escribirse sin tilde, según determinan las reglas generales de acentuación gráfica del español. El adverbio “solo” no debe tildarse cuando no exista riesgo de ambigüedad en su interpretación.

Mi teoría de que esta redacción ha sido un “copia y pega” desde la Directiva se confirma si leemos la definición de encargado del tratamiento del RD 1720/2007: “La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.”

Aquí sí que lo han puesto bien.

Para finalizar y terminar de rizar el rizo, en realidad habría que corregir primero la Directiva, porque ortográficamente hablando incurre en el mismo error y por tanto se produciría una paradoja cuanto menos curiosa con la redacción nacional.

Con este artículo pretendo poner de relieve un hecho que hasta ahora parece haber pasado desapercibido por las autoridades de Protección de Datos nacionales y por las propias Administraciones locales.

La inspiración para escribir este artículo me vino al encontrarme en la calle una multa (boletín de denuncia) de un vehículo por estacionar en una zona reservada a residentes con distintivo (zona naranja en Murcia), pero naturalmente es también aplicable a las multas de la zona azul o zona verde.

Como todos sabemos, existen algunas zonas en las calles donde para poder estacionar el vehículo debemos sacar un ticket (previo pago de su importe) el cual nos permite dejar el coche allí por un tiempo limitado. De no hacerlo, o de sobrepasar el tiempo establecido en el ticket, nos arriesgamos a que nos imponga la correspondiente multa.

Ahora bien, bajo mi punto de vista, existe un problema de protección de datos en relación a la forma que tienen, en un primer momento, de comunicarnos estas multas: dejando un papelito en el limpia parabrisas del vehículo. ¿Por qué entiendo que estamos ante una infracción de la normativa de protección de datos? ¿Acaso en ese papel hay algún dato personal? ¿Qué artículo podría estar vulnerándose de la Ley Orgánica de Protección de Datos?.

Para empezar y ubicar exactamente el tema, adjunto imagen de la multa que me encontré.

En primer lugar debemos analizar la información que contiene este papel:

• 1- Fecha completa: día, mes, año y hora, minuto.
• 2- El número de boletín, que al no estar seguro qué significa lo he tachado también por seguridad.
• 3- Datos del vehículo: matrícula, marca, modelo y color.
• 4- Lugar donde se ha cometido la infracción, en este caso, en la Calle Antonio Puig nº 2 de Murcia.
• 5- Hechos de la sanción: “Estacionar en lugar limitado y controlado por O.R.A. careciendo de distintivo especial de residente.
• 6- Artículo correspondiente: 31.
• 7- Importe de la multa: 30 euros.
• 8- Identificación del controlador: número ID del controlador.
• 9- Firma del controlador.

De los datos aportados es evidente que es el referido a la matrícula el que va a provocar, como veremos, que este trozo de papel deba estar sometido a la Ley Orgánica de Protección de Datos.

La Ley Orgánica de Protección de Datos es aplicable a todo tratamiento de datos personales, por tanto, procede preguntarse si la matrícula de un coche es un dato de carácter personal. Esta cuestión ya está resulta desde hace algún tiempo tal y como pudo enseñarnos Jorge Campanillas. Por tanto, la matrícula, sí es un dato de carácter personal.

Ahora que tenemos claro que nos encontramos ante un tratamiento de datos personales, vamos a ver si éste se ajusta a lo dispuesto en la normativa de protección de datos:

En primer lugar debemos estar a lo dispuesto en el artículo 5.1 LOPD, que consagra el principio de información y viene a decirnos que en el momento de recabar nuestros datos personales es obligatorio facilitar e informar al interesado o afectado ciertos extremos, a saber:

• a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
• b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
• c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Esto es aplicable no sólo a las multas de la ORA sino a cualquier tipo de multa: es necesario que nos informen de estos puntos y no hacerlo supone infringir este artículo 5.1. Gracias a Ramón Arnau descubro la Resolución 00181/2008 donde se declara la infracción de este artículo 5 a un Ayuntamiento porque en los formularios de denuncia de la Policía Local (multas de tráfico) no se incluye la correspondiente cláusula legal con los requisitos del artículo 5.

Por tanto, si el objetivo de colocar el papel con la multa en los limpias del coche es informar al infractor que va a ser sancionado, entonces deberían incluir una cláusula legal (por ejemplo en el dorso) donde se le facilite esta información del artículo 5.1. Algo que no ocurre, al menos, con las multas de la ORA en Murcia.

En segundo lugar tenemos el artículo 10 LOPD, que indica: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Este precepto ha sido utilizado en numerosas ocasiones para sancionar a empresas y Administración por dejar tirados en la calle curricula, facturas, expedientes judiciales, recetas médicas, etc. Por su parte, el artículo 44.3.g LOPD establece que será infracción grave: “La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.”

No cabe duda que estamos ante un tratamiento de datos personales (el papel con la multa), y que además contiene información relativa a la comisión de una infracción administrativa, por lo que el Ayuntamiento y cualquiera que intervenga en el tratamiento de estos datos tiene un deber de guardar secreto, deber éste que se ve vulnerado por el hecho de dejar en la calle y accesible por cualquiera, información de carácter personal asociada a la comisión de una infracción administrativa.

Además, el papel con la multa nos ofrece más información: nos está diciendo que determinado vehículo se encontraba estacionado en una calle concreta, en un día concreto, a una hora concreta, lo cual es también a tener en cuenta para los más paranoicos.

En conclusión, bajo mi punto de vista, los Ayuntamientos que estén utilizando este sistema de dejar en el limpia parabrisas las multas están infringiendo, al menos, el artículo 10 LOPD, y al tratarse datos de nivel medio (comisión de infracciones) estamos ante la infracción grave descrita en el 44.3.g LOPD. Recordemos también que la vía correcta de comunicación de esta sanción es mediante carta certificada al domicilio del titular del vehículo, que por otra parte es como se está realizando actualmente, por lo que, tampoco encuentro demasiado sentido que te pongan el papel en el coche (a no ser que sea porque puede caber la anulación de la multa si se cumplen ciertos requisitos, aunque en el caso de las multas por estacionar en zona naranja no cabe anulación).

Para los ficheros ya existentes todavía existe un periodo de tiempo para su adaptación.

No obstante recordemos que el R.D. 1720/2007 no sólo establece un régimen de medidas de seguridad para los ficheros con datos personales, sino que nos encontramos ante un auténtico desarrollo reglamentario de la Ley Orgánica de Protección de Datos por lo que las consecuencias de la entrada en vigor de esta normativa se extienden más allá de las meras consideraciones sobre seguridad de datos.

En total pude comprobar 6 infracciones en esta materia, más 3 que se pueden comprobar desde cualquier ordenador con conexión a Internet. Además, tuve ocasión de recoger en fotografías algunas de las infracciones más graves.

La suma total de esas infracciones podría llegar hasta 1.260.000 euros en multas.

Si quieres conocer cuales son estas infracciones y ver algunas en fotografías, haz clic en

No voy a entrar a detallar y precisar jurídicamente cada una de las infracciones (si alguien quiere más explicaciones de alguna podemos hablarlo en los comentarios de este artículo), así que simplemente explicaré cada situación y su tipificación como conducta antijurídica, desde mi punto de vista, en la Ley Orgánica de Protección de Datos o en su desarrollo reglamentario.

PRIMERA:

Instalación de video cámaras enfocando a la vía pública. Esto es frecuente encontrarlo casi en cualquier calle de nuestra ciudad: cámaras de vigilancia de alguna empresa grabando la vía pública. En este caso, Globomedia tiene varias cámaras de seguridad que recogen lo que pasa fuera de sus instalaciones, en la calle. Esto podría ser constitutivo de una infracción grave tipificada en el artículo 44.3.c de la LOPD en relación al artículo 6.1 LOPD que indica:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”
Por tanto, se están recogiendo datos personales (la imagen de la persona) en los ficheros de Globomedia sin el consentimiento correspondiente, ya que, recordemos, nos encontramos en la calle.

La multa en este caso podría ascender hasta los 300.000 euros.

SEGUNDA:

Instalación de video cámaras en el interior del recinto sin informar debidamente de la existencia de las mismas según establece el artículo 5.1 y la Instrucción 1/2006 sobre Videovigilancia.
Esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.d de la LOPD en relación al artículo 5.1 LOPD que indica:
“Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

La multa en este caso podría ascender hasta los 60.000 euros.

TERCERA:

En mi caso me hicieron firmar un recibí por un dinero que percibí allí. En dicho documento tuve que poner mi nombre completo, dirección y DNI, además de la firma. No había cláusula alguna de protección de datos en el documento.
De nuevo esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.d de la LOPD en relación al artículo 5.1 LOPD.

La multa en este caso podría ascender hasta los 60.000 euros.

CUARTA:

Al entrar a las instalaciones (por una de sus entradas), el vigilante de seguridad me solicitó el carnet de identidad. Al facilitárselo introdujo mis datos personales en un fichero informatizado, concretamente en un fichero Excel, junto a otros datos de otras personas. No se me informó de lo establecido en el artículo 5.1.
En esta imagen podemos ver una fotografía del monitor con la carpeta del Windows XP y los ficheros Excel.

La multa en este caso podría ascender hasta los 60.000 euros.

QUINTO y SEXTO:

Los ficheros Excel mencionados en el punto anterior se encuentran sin las debidas medidas de seguridad. En primer lugar para abrirlos no es necesario introducir ninguna contraseña, lo cual podría ser constitutivo de una infracción grave tipificada en el artículo 44.3.h que nos habla de “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.” en relación al artículo 10 LOPD y 93.2 del Real Decreto 1720/2007 que nos indica lo siguiente:
“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.”
Partiendo de que un fichero Excel no es la mejor forma de tener una base de datos de control de accesos, se hace imprescindible que para abrir este fichero se requiera, al menos, una contraseña.

La multa en este caso podría ascender hasta los 300.000 euros.

Y en segundo lugar, durante el tiempo que permanecí esperando en recepción, pude constatar, y así lo demuestro mediante una fotografía, como el único vigilante de la zona se ausentaba de su puesto de trabajo por periodos de tiempo prolongados dejando el ordenador desatendido, y como se ve en la fotografía, cualquier podría manipular el ordenador ya que no hay “protector de pantalla” o medidas de seguridad equivalentes. La infracción en este punto es idéntica a la anterior: dejar el acceso a los ficheros sin las medidas de seguridad oportunas.

La multa en este caso podría ascender hasta los 300.000 euros.

SÉPTIMO, OCTAVO y NOVENO:

Las siguientes infracciones las puede comprobar cualquier de nosotros: Globomedia S.A. no dispone de ningún fichero declarado en la Agencia Española de Protección de Datos. Esto es, que no existe una declaración e inscripción para el fichero de videograbaciones, ni para el de invitados (en el que estoy yo), ni para el de trabajadores de esta empresa.

Esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.c de la LOPD en relación al artículo 26.1 LOPD que establece como infracción:
“No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.”
Y el artículo 26 establece que “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos“.

Por cada uno de estos ficheros no inscritos, la multa podría ascender a 60.000 euros.

Conclusión: parece que la multa de 1,08 millones de euros a otra productora de televisión (la responsable de Gran Hermano) por temas de protección de datos no ha hecho concienciarse al sector todavía de las implicaciones del tratamiento de datos personales. Quizá sea necesaria otra multa millonaria…

La existencia de esa web fue comunicada por un afectado al Defensor del Pueblo Andaluz quien puso los hechos en conocimiento del Juzgado de Primera Instancia e Instrucción correspondiente y de la Agencia Española de Protección de Datos.

Esta Resolución tiene dos puntos interesantes: primero porque se observa la cautela del sancionado en no ser descubierto, ya que utilizó un proxy para acceder al subdominio y subir la información sensible, aunque finalmente pudo ser cazado por un descuido (gracias a los inspectores de la AEPD). Y segundo porque en la propia Resolución se menciona que el Juzgado de Instrucción procede al sobreseimiento y archiva el caso, mientras que la AEPD sí que termina en sancionar.

Si quieres saber como cazaron al infractor a pesar de ocultar su IP utilizando un proxy y los detalles de la Resolución, haz clic en

Como se ha comentado, los hechos se pusieron en conocimiento tanto del Juzgado ordinario como de la AEPD.
Al haber iniciado el Juzgado la fase de instrucción y encontrarse investigando el caso por vía penal, la AEPD procede a la suspensión de las actuaciones de investigación previas en vía administrativa. Así, 4 meses después, el Juzgado le comunica a la AEPD que ya han terminado sus investigaciones y que sobresee el caso archivándolo.
Pocos días después, el Director de la Agencia Española de Protección de Datos acuerda levantar la suspensión de las actuaciones de investigación y continuar su tramitación.

En resumen, que el Juzgado no llega a ninguna parte, archiva el caso, pero la AEPD sin embargo continua la correspondiente investigación por su cuenta a ver hasta donde llega. Y aquí es cuando comienza el periplo por la red buscando al posible responsable.

Como se dijo, se utilizó un subdominio en iespana.es para ubicar la página con la información personal. Así que lo más lógico era ir a preguntar a iespana.es a ver quién abrió ese subdominio. iespana.es informó que fue un cliente utilizando un servicio gratuito y se identificó como J.C. y email …@mixmail.com. Y efectivamente, confirma iespana, que subió una página web a este espacio con título “Los Comunistas de…” y “relación de todos los comunistas de…”. Además, iespana.es les comunica la contraseña de administración del subdominio (vaya, pensaba que las contraseñas había que guardarlas cifradas), y la IP utilizada para subir los contenidos a Internet.

Iespana pone de manifiesto que los datos aportados a la hora del registro pueden ser falsos, EXCEPTO el del correo electrónico, que ya se le envió un mensaje de confirmación y un código de activación del servicio, por lo que tuvo que acceder a esa cuenta de correo electrónico para activar el subdominio.

Tenemos por tanto la siguiente información del infractor:

1. Su nombre J.C. (seguramente falso)
2. Una dirección de email …@mixmail.com a la que tuvo que acceder para activar el servicio
3. La IP desde la que se subió el contenido a iespana

Llegados a este punto, correspondería averiguar a quien pertenece esa IP, pero se llegó a un callejón sin salida porque pertenecía a un servidor proxy específico para ocultar la dirección IP en Internet.

Así que sólo nos queda una dirección de correo electrónico en @mixmail.com … no parece mucho.

Se le solicita a mixmail.com que facilite la información de registro de esa cuenta de correo electrónico, y comunican que fue creada por un tal M.J.J (nombre falso) y que la última vez que se accedió fue precisamente el mismo día que se subió el contenido al subdominio de Internet (buena señal).

Mixmail facilitó entonces un log de los últimos 7 accesos a ese correo electrónico, donde figura el día, hora, minuto y segundo de conexión y la IP que accede en ese momento. La IP fue siempre la misma en los 7 últimos accesos, que se llevaron a cabo en un lapso de tiempo de algo más de 24 horas en el día que fue publicada la web.

Ahora tenemos una nueva pista: la IP de conexión a la cuenta de correo electrónico utilizada para activar el servicio en iespana. Con un poco de suerte el infractor no habrá tenido la cautela de utilizar también el proxy para acceder al correo… y efectivamente, la IP correspondía a una ADSL de Telefónica en España. A los pocos días la AEPD ya dispone de los datos del titular de esa línea de ADSL, perteneciente a D. J.F.D.

La AEPD intentó ponerse en contacto con J.F.D. por correo ordinario pero nunca recogió las cartas certificadas. Finalmente y ante la imposibilidad de contactar con J.F.D. se publicó en el Ayuntamiento correspondiente el inicio del procedimiento sancionador.

Y ya está, se le imputa una infracción del artículo 7.2 de la Ley Orgánica de Protección de Datos que establece:

“Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Ello quiere decir que solamente en estos supuestos específicos dichos datos podrán ser tratados.
En el supuesto presente, ha quedado acreditado que el denunciado ha tratado los datos de, al menos, Don J.C.T (el que comunicó los datos al Defensor del Pueblo), su esposa y sus hijos, en un listado de personas refiriéndose a ellos como miembros del Partido Comunista de la localidad …, sin que se haya acreditado el consentimiento expreso y por escrito de los afectados.

El artículo 44.4.c) de la LOPD considera infracción muy grave: c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

Finalmente, afirma la AEPD que el responsable de la inclusión, en una página web, del listado de vecinos de (….) bajo el título Comunistas … ha incurrido en la infracción señalada, ya que, al menos cuatro miembros de una misma familia, no han consentido de forma expresa y por escrito el tratamiento de datos relativos a ideología.

Así que se le impone una multa de 300.506,05 euros.

Ahora bien, a mí se me ocurren algunos problemas del iter comentado.
Si nos fijamos, se sanciona al TITULAR de la línea ADSL. y además ni siquiera se llega a contactar con él. Veo peligroso asociar un acto ilícito al titular de una línea ADSL, por la sencilla razón de que en una casa familiar, la conexión ADSL la puede utilizar el padre, la madre, el hermano, la hermana y el amigo de la hermana… sin que (bajo mi punto de vista) pueda ser posible imputar directamente (sólo por la IP) la comisión de una infracción al titular de la línea (faltarían pruebas en mi opinión), sobre todo porque en este caso concreto no se investigó si el titular vivía solo, o con alguien más. Es posible incluso, que utilizara un router wifi y no tuviera restringido el acceso al mismo… cualquiera con un portátil podría haberse conectado…

Descargar la resolución desde aquí