México dispone finalmente de una normativa propia sobre la protección de datos de carácter personal, eso sí, ya desde el propio título de la norma se aprecia una importante limitación en su ámbito en relación a nuestra LOPD: “Ley Federal de Protección de Datos Personales en Posesión de los Particulares“; sí, en efecto, la Administración Pública queda completamente al margen de esta normativa y sus principios protectores.

Este artículo pretende ser un brevísimo comentario a esta nueva Ley que entró en vigor el pasado 6 de julio; voy a centrarme en aquellos elementos que me han llamado más la atención y en algunas diferencias esenciales respecto a nuestra normativa española.

En primer lugar, y con carácter general, se aprecia una influencia muy fuerte de nuestra Ley española (y Directiva Europea), seguramente gracias a (o por culpa de) la actividad desarrollada por la Agencia Española de Protección de Datos a través de la Red Iberoamericana de Protección de Datos, entre otras circunstancias.

¿Dónde se aprecia esta influencia? Pues en la redacción de muchos de sus artículos y definiciones. Veamos unos simples ejemplos:

Definición de “dato de carácter personal”:

• Ley Española: “Cualquier información concerniente a personas físicas identificadas o identificables.“
• Ley Mexicana: “Cualquier información concerniente a una persona física identificada o identificable.”

Definición de “encargado del tratamiento”:

• Ley Española: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“.
• Ley Mexicana: “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable“.

Definición de “fuente accesible al público”:

• Ley Española: “Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación“
• Ley Mexicana: “Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley“.

Respecto al “bloqueo de datos”:

• Ley Española: “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. “
• Ley Mexicana: “Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.”

Y así podríamos seguir.

Pero vayamos a las diferencias o novedades que es lo más relevante.

La primera gran diferencia es que en torno a la Ley mexicana planea un concepto, el denominado “Aviso de Privacidad” que su ley lo define como: “Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley“.

Este Aviso de Privacidad viene a ser como nuestras cláusulas informativas del artículo 5.1 pero con más información y otorgándole un carácter formal importante. Nuestras cláusulas informativas se convierten en la normativa mexicana en un documento con vida propia que contiene mucho más que una breve mención a las finalidades para las cuales se recaban los datos y el responsable. Para que nos hagamos una idea, aquí indico algunas de las características de ese Aviso de Privacidad y su contenido:

1. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
2. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
3. El Aviso de Privacidad debe contener las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
4. El Aviso de Privacidad debe contener el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios en el aviso de privacidad.
5. El Aviso de Privacidad puede contener la forma en la que se atenderá el derecho de acceso.
6. En las cesiones de datos, el cedente deberá comunicar al cesionario su Aviso de Privacidad.
7. Otras…

Este Aviso de Privacidad es por tanto un elemento nuclear en la protección de datos en México.


Continuemos con las diferencias. Para el tratamiento de datos personales relativos a la salud en nuestra normativa se exige un consentimiento expreso. En México han querido ir un paso más allá y exigen que el interesado firme un documento (ya sea mediante firma autógrafa o firma digital) de forma expresa y por escrito. También valdría cualquier mecanismo de autentificación. Lo que se pretende es establecer una garantía adicional en el tratamiento de datos relativos a la salud verificando la identidad del interesado.

Otra diferencia importante es la que menciona el artículo 20, que dice así: “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Esto es algo similar a lo que comentaba aquí: Las operadoras de telecomunicaciones deberán notificar las violaciones de seguridad en sus sistemas sólo que extendido a todos los entes privados y no sólo a las operadoras de telecomunicaciones. Esto es sin duda un gran avance y un reto para los responsables y la sociedad mexicana.

Más diferencias: en México, cuando cancelen un dato personal deberán notificarlo a su titular; eso en España no existe. Además, es obligatorio designar una persona dentro de la organización que se encargue de atender los ejercicios de derechos y difundir la cultura de la protección de datos, algo así como nuestro Responsable de Seguridad pero con sólo esa función.

El ejercicio de los derechos ARCO es, igual que aquí, gratuito, pero mientras que en España sólo es posible ejercerlos a intervalos inferiores a un año (a no ser que medie un interés legítimo en concreto), en México sin embargo han querido dar la posibilidad de ejercer los derechos sin límites temporales, eso sí, si una misma persona reitera el derecho en menos de un año se le podrá “cobrar“, pero no más de 3 días de Salario Mínimo General Vigente en el Distrito Federal, a menos que existan modificaciones sustanciales al Aviso de Privacidad que motiven nuevas consultas (de nuevo vemos la importancia de ese Aviso de Privacidad).

En materia de infracciones encontramos algunos tipos novedosos, como por ejemplo este:

• Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

Pero lo que sin embargo revoluciona el mercado es el tema de las sanciones; allí sólo hay dos clases de sanciones, que no van en función de nuestra clásica tipología de “leves, graves y muy graves” sino en función del precepto infringido.

• Tenemos por un lado las que se sancionan con multa de entre 100 a 160.000 días de salario mínimo vigente en el Distrito Federal.
• Por otro lado están las que se sancionan con multa de entre 200 a 320.000 días de salario mínimo vigente en el Distrito Federal.

Un ejemplo de las primeras serían la de declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable. Un ejemplo de la segunda: recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible.

Esta forma de cuantificar las sanciones es muy común en México, donde no se establecen cuantías fijas sino que se remiten a “días de salario mínimo” en este caso el día de salario mínimo vigente en el Distrito Federal, que en concreto, para el año 2010 asciende a $57.46 pesos mexicanos (la zona geográfica “A” es la que corresponde a Distrito Federal).

Actualmente, $57.46 pesos mexicanos equivalen a 3,55 euros , por tanto, estamos hablando de que la multa máxima en México y en euros asciende a 1.136.000 euros, lo cual casi duplica la cuantía máxima en nuestra norma española, que puede alcanzar los 600.000 euros.


Para ir terminando una curiosidad:

El artículo 11 se expresa así: “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados“. ¿Procurará? ¿El responsable procurará que los datos personales sean pertinentes? En fin, sin comentarios.


Yo he echado de menos un apartado dedicado a las transferencias internacionales, pues se asimilan con las simples -nuestras- cesiones, es decir, no diferencian si la cesión (allí transferencia) es nacional o internacional; también observo pocas definiciones de términos que utiliza la Ley y que pueden dar lugar a confusión… y bueno habrá que esperar también a que se desarrollen varios aspectos de esta ley, en teoría, antes de 1 año.


Descargar Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México.

Nos encontramos con un caso poco habitual en relación a la grabación de imágenes por sistemas de videovigilancia y su incidencia en materia de protección de datos. Como ya sabemos, las entidades privadas o los particulares no están habilitados, inicialmente, para grabar mediante videocámaras parcelas de la vía pública.

En este caso la afectada ha sido la propia Sociedad General de Autores y Editores (SGAE) en su sede de Barcelona por la instalación de una cámara que enfoca y graba la vía pública (ver imagen de la fachada de la SGAE y la cámara).

Un particular denunció estos hechos ante la Agencia Española de Protección de Datos y tras realizar la correspondiente visita de inspección se constató que en efecto existía una cámara de videovigilancia “de alcance desproporcionado para la finalidad perseguida, sin que pueda ser realizado por otros responsables del fichero que no sean las Fuerzas y Cuerpos de Seguridad del Estado“.

A la luz de estos hechos se acuerda abrir un procedimiento sancionador por infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos, pudiendo ser sancionada con multa de entre 60000 y 300000 euros.

Sin embargo la SGAE no fue sancionada ¿por qué?

Al margen de los principios generales propios de cualquier procedimiento sancionador, en materia de protección de datos se exige además una serie de elementos para que podamos entender vulnerada esta normativa, en concreto tres: dato de carácter personal + tratamiento + (según el Tribunal Supremo) fichero.

Nos centraremos en el primero de estos elementos pues fue el determinante en el expediente que estamos examinando.

¿Qué es un dato de carácter personal? Aquí podemos encontrar un breve análisis sobre este concepto  pero en resumen “dato personal” es toda aquella información concerniente a persona física identificada o identificable. La imagen de un persona se considera dato de carácter personal en tanto en cuanto sea capaz de identificar a una persona en concreto; así por ejemplo, si difuminamos los rasgos faciales de un sujeto, convertimos su imagen personal -el dato personal- en un dato sin relevancia en materia de protección de datos porque no seremos capaces de identificar a esa persona (en teoría, en la práctica pueden pasar otras cosas ).

Pues bien, llegado a este punto la Agencia Española de Protección de Datos, a la vista de las pruebas obtenidas, argumenta:

“…lo cierto es que tanto a través de las fotografías de las imágenes captadas por los monitores de la sociedad y aportadas por los inspectores de esta Agencia, en el momento de efectuar la inspección en fecha 19 de enero de 2010; como de los tres DVD, aportados por la SGAE, para justificar la instalación de las cámaras, no se ha podido identificar o hacer identificables a transeúntes ni viandantes de las zonas públicas que abarcaba la cámara y por lo tanto no cabe considerar que las imágenes que se captaban eran datos de carácter personal. Asimismo, hay que señalar que el ángulo de captación de la cámara ubicada en el Paseo de Colón, es el mismo en las fotografías tomadas por los inspectores que en los tres DVD aportados por el SGAE, sin que sea posible realizar un acercamiento de la imagen al carecer la cámara de “zoom”, según pudieron constatar los inspectores actuantes.”

Por tanto, al no existir la posibilidad de vincular ninguna de las imágenes captadas por la SGAE con persona física identificada o identificable, procede archivar el procedimiento sancionador.

Y entonces me pregunto yo ¿para qué instalar un sistema de videovigilancia si llegado el momento no va a poder identificar a nadie? La SGAE afirma que:

“La SGAE, es una entidad que se dedica a la defensa de los derechos de propiedad intelectual, lo que implica que esté sometida a multitud de presiones que con frecuencia derivan en comportamientos vandálicos contra sus sedes. Para disuadir y atenuar los actos vandálicos, SGAE se ha visto obligada a implementar sistemas de videovigilancia, instalando cámaras en las fachadas de algunas sedes.”

(Ejemplo)

Aclarado, efecto disuasorio.

Ahora bien, como paradoja, el simple hecho de que se haya publicado la Resolución contra la SGAE va a comprometer ese efecto disuario, porque ahora ya sabemos que las cámaras que tiene la SGAE en su sede de Barcelona graban a tan mala calidad que no se podrá identificar al vándalo que agreda (para algunos en legítima defensa) las instalaciones de esta entidad.

Descargar la Resolución comentada.

La web de la Dirección General de Tráfico (DGT) tiene habilitado un sistema que permite obtener el resguardo de haber pagado una multa de tráfico. Sin embargo, la información que solicita la DGT para acceder a este documento es tan solo el “número de registro” (nada de certificados digitales o contraseñas), una cifra de unos pocos dígitos SECUENCIALES. El resguardo contiene, entre otros datos: nombre y apellidos, NIF, importe de la multa y número de expediente.

La Dirección General de Tráfico (DGT) no se caracteriza precisamente por su preocupación por tratar los datos personales de los ciudadano con unos mínimos de seguridad e intimidad: El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.

Un lector anónimo alertaba en el foro de protección de datos sobre la existencia de un mecanismo, que a su juicio, podría vulnerar la Ley Orgánica de Protección de Datos (LOPD).
Tras una breve investigación constato que en efecto, lo que allí afirma es cierto y podría suponer claramente una vulneración de esta Ley Orgánica.

Veamos el problema:

Imaginemos que nos han puesto una multa de tráfico; gracias a la tecnología punta de la que gozamos en este país, desde la sede electrónica de la DGT podremos tramitar su pago.
Una vez finalizado el pago de la misma, se nos informa que podemos descargamos nuestro “duplicado de recibo de pago“, o sea, un resguardo de haber pagado la multa.

Para ello, debemos acudir a esta dirección: https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf

Como es lógico, para acceder a nuestro propio resguardo -y no el del vecino- el sistema nos exige identificarnos ante la Administración, sin embargo no pensemos en complicados certificados electrónicos y complejas claves cuánticas, no, tan solo nos solicita el “número de registro”.
Este número de registro nos lo facilita la propia DGT cuando hemos terminado de pagar la multa de tráfico.

Hasta aquí todo va bien, el problema aparece cuando, sin necesidad de gozar de una inteligencia e imaginación titánica, leemos el número de registro que nos envía: 2010005000113***.

Cuando uno recibe ese número de registro y se le invita a introducirlo en esa casilla para obtener el resguardo del pago de la multa, es inevitable probar con un número inmediatamente anterior “a ver que pasa”. Y lo que pasa es que te descargas el resguardo de otra persona. Y entonces descubres que los 4 primeros dígitos hacen referencia al año, y que los últimos dígitos son secuenciales, desde el 000001 hasta el número que llegue según el número de multas de ese año.

El documento que obtenemos es silimar a este.

Este mecanismo es evidente que vulnera los artículos 9 y 10 de la LOPD, que establecen:

Artículo 9. Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

A la hora de publicar esta información he sufrido un ligero dilema: ¿debía hacerlo público sin avisar a la DGT y darles un tiempo a “arreglarlo”? Esto fue lo que hice con este otro problema y sólo tardaron 15 meses en arreglarlo y porque medió una Resolución Sancionadora contra el organismo competente.
Sin embargo este caso es ligeramente diferente: ¿nos encontramos realmente ante un fallo de seguridad por una programación negligente o un código poco depurado? En mi opinión no. No nos encontramos ante un fallo de seguridad porque la DGT era y es plenamente consciente de su sistema de obtención de resguardos; de entre todas las posibilidades que tenían han optado por la que hemos visto, voluntariamente. No se requiere ningún mecanismo de intrusión, inyección, o cualesquiera otras técnicas propias de la seguridad informática: simplemente es introducir un número en una casilla que la DGT proporciona al efecto, número que no puede considerarse secreto ni aleatorio.

Por tanto no me veo en la obligación moral de ponerlo en conocimiento de la DGT porque ellos YA LO SABEN; además, teniendo en cuenta cómo (no) resolvieron este asunto no me merecen, desde el punto de vista de la protección de datos de carácter personal, ningún respeto ni condescendencia.

Este sistema de acceso a la información es muy similar a la de consulta de puntos de carnet de conducir (ya declarada ilegal) o al antiguo sistema de cesión de asientos vía web del Club de Fútbol Real Madrid, que solicitaba como nombre de usuario el número de socio y como contraseña los 4 últimos caracteres de su número de DNI (también sancionado por la Agencia Española de Protección de Datos en 2008).

Un año más el SICARM 2010 acoge unas jornadas de actualidad sobre la protección de los datos de carácter personal; este año se centrarán las mesas y debates sobre la incidencia de este derecho en Internet.

El programa completo lo podéis ver aquí.

Como viene siendo habitual en estas jornadas, el nivel y reconocimiento de sus participantes es incuestionable, así, a modo de ejemplo, puedo destacar las siguientes intervenciones que sin duda aportarán un valioso contenido a los debates:

Andy Ramos Gil de la Haza, Bajardí & Honrado Abogados, en la mesa “Propiedad intelectual y protección de datos en Internet: en busca de un equilibrio inestable“.

Ofelia Tejerina, Asociación de Internautas, en la mesa “Protección de datos e interceptación de las comunicaciones: la necesaria adaptación tecnológica de las garantías constitucionales“. Esta misma mesa también contará con la participación de Juan Salom Jefe del Grupo de Delitos Telemáticos de la Guardia Civil.

Lorenzo Cotino, Universidad de Valencia, en la mesa “Medios de comunicación en Internet: el dificil equilibrio entre las libertades informativas y la protección de datos“.

Tendremos también una mesa que tratará temas de seguridad en la red a propósito del esquema nacional de seguridad y e-administración, donde participará Javier Cao de Firma-e. 

Por otra parte, Renato Aquilino, vicepresidente de la Asociación Profesional Española de Privacidad (APEP) participará en la mesa “Los profesionales de la privacidad en la era de Internet: nuevos tiempos, nuevos desafíos“.

Por último destacar la presencia, siempre enriquecedora, de Ricard Martínez de la Agencia Española de Protección de Datos que compartirá mesa con Andy Ramos.

La clausura la realizará el propio Director de la Agencia Española de Protección de Datos, Artemi Rallo.

En definitiva, cada año el elenco de especialistas es más elevado y recomiendo a todos aquellos que estén interesados en acudir que formalicen su inscripción (gratuita) aunque sólo vayan a asistir a una de las mesas, porque para acceder al recinto donde se celebran las charlas es obligatorio estar acreditado como asistente.

INSCRIPCIÓN AQUÍ

Más info aquí

A comienzos de 2009 estuve realizando un seguimiento de las empresas sancionadas ese año por vulnerar la Ley Orgánica de Protección de Datos; el listado completo se ha podido consultar aquí .

Desde una perspectiva global, descataría la siguiente información:

1º: Sorprendente ventaja que ha sacado France Telecom respecto de sus competidores: un 73% más de sanciones que Telefónica Móviles y Telefónica de España juntas. Y debemos tener en cuenta que el número de clientes de Telefónica es muy superior al de France Telecom en España.
Además, con estas cifras, no parece que a France Telecom le resulte rentable infringir esta normativa.

2º: En el Top 10 de las empresas más sancionadas se disputan los primeros puestos operadores de telecomunicaciones (Telefónica, Orange, Vodafone, ONO, Jazztel), entidades bancarias (BBVA y Santander), una empresa energética (Endesa) y luego Data Integral Action que empezó el año en primera posición y al final ha descendido a la octava plaza.

3º: Estas 10 empresas se llevan el 58% del total de euros acumulados por sanciones en 2009

4º: El año 2009 empezó con una multa a Telefónica Móviles y termina con una multa para Telefónica Móviles. Además Telefónica Móviles tiene la sanción más elevada de todo 2009: 420000 euros.

5º: El total acumulado en multas para 2009 ha sido de 17 millones de euros, siendo la sanción media de 42000 euros.

Listado completo de empresas sanciondas

La Asociación Profesional Española de Privacidad presenta la “APEP Certified Privacy” (ACP), la primera certificación enfocada exclusivamente en materia de protección de datos de carácter personal y privacidad. Con esta certificación se persigue, entre otros objetivos, ubicar en el sector profesionales de reconocida competencia y conocimientos, ya que obtener el ACP no será fácil.

De sobra es conocido por los profesionales en la materia que en el mercado existen actualmente diversas certificaciones relacionadas en mayor o menor medida con la protección de datos de carácter personal y la privacidad; sólo por citar algunos ejemplos: Certified Information Systems Auditor (CISA), CISM (Certified Information Security Management), CISSP (Certified Information Systems Security Professional).

No obstante, la carga en estas y otras certificaciones similares de contenidos sobre protección de datos de carácter personal y privacidad son mínimas o inexistentes.

Para cubrir este vacío nace la APEP Certified Privacy (ACP), cuyos contenidos, como se mostrará a continuación, versan sobre protección de datos de carácter personal y privacidad.

¿Por qué una certificación en esta materia?

Se podrían dar varias respuestas, pero yo lo resumiría en dos:

1º: Aquellos que obtengan la certificación ACP podrán acreditar efectivamente sus conocimientos en la materia lo cual servirá para destacarse del resto de profesionales o consultores: será un plus de valor añadido al curriculum del profesional.

2º: Las empresas que busquen consultoría o auditoría en materia de protección de datos comenzarán a exigir una “experiencia y conocimientos acreditados” dado el elevado número de consultoras que ofrecen servicios en esta materia sin gozar de profesionales solventes, cuyo único objetivo es explotar un sector, llegando a utilizar técnicas de más que dudosa legalidad.

Llegados a este punto ¿cómo puedo obtener el ACP?

En primer lugar debe decirse que la certificación básica es en efecto la ACP, pero luego existen unas especializaciones, veamos:

Esto es, del tronco común ACP se desprenden 2 especializaciones: una enfocada a auditores en privacidad y otra dirigida a asesores o consultores en privacidad y a responsables de privacidad corporativos (responsables de seguridad).

Vías para obtener la certificación, hay 2: el denominado “grandfathering” y la clásica superación de un examen. En ambos casos será necesario acreditar un mínimo de experiencia, adherirse a un código de conducta y un proceso de formación continua así como cumplir con varios estándares.
Respecto a la vía de “grandfathering” me remito a la documentación que al final de este artículo indico.

En relación al examen: consta de una parte tipo test (100 preguntas a superar el 75%, no cuentan los errores) y otra parte de preguntas prácticas a desarrollar.
Como decía, superar el examen no te otorga directamente la certificación ACP, sino que pasas un estado de “ACP Candidato” a esperas de que acredites la experiencia que se exige según el certificado al que optes (3 años para el ACP común o participación en un número mínimo de proyectos).

¿Cuál es el contenido del examen?

Se divide en varios dominios que deben ser superados:

• DOMINIO 1. INTRODUCCIÓN. CONCEPTOS JURÍDICOS Y TÉCNICOS BÁSICOS. MARCO LEGAL. PRINCIPIOS Y DERECHOS. 10 %
• DOMINIO 2. PARTE GENERAL I. ASPECTOS JURÍDICOS COMUNES. 30 %
• DOMINIO 3. PARTE GENERAL II. ASPECTOS TÉCNICOS Y ORGANIZATIVOS COMUNES. 25 %
• DOMINIO 4. PARTE ESPECIAL I. TRATAMIENTOS ESPECÍFICOS Y ESPECIALES. EXIGENCIAS Y REGULACIÓN DEL TRATAMIENTO DE DATOS PERSONALES EN LOS PRINCIPALES ÁMBITOS SECTORIALES. 25 %
• DOMINIO 5. PARTE ESPECIAL II. PROCEDIMIENTOS ADMINISTRATIVOS EN MATERIA DE PROTECCIÓN DE DATOS. ESPECIAL REFERENCIA A LA POTESTAD SANCIONADORA. 10 %

Como se puede observar viendo los contenidos, esta certificación es la única existente en la actualidad que se centra exclusivamente en temas de privacidad y protección de datos de carácter personal.

Para obtener la especialización correspondiente será necesario además superar un DOMINIO 6.

Precios: 350 euros para los asociados a APEP y 450 euros para no socios.
Convocatorias del examen: en junio y octubre.

La APEP ha realizado y va a realizar una serie de jornadas informativas sobre esta certificación, aquí dejo el calendario previsto:

• Barcelona, 19 de marzo
• Palma, 25 de marzo
• Valencia: 21 de Abril
• Murcia, 20 de mayo
• Madrid, por determinar

Toda la documentación, así como información mucho más detallada de lo que he comentado se puede encontrar en la página web de la APEP.

NOTA: esta documentación que enlazo es la misma que los asociados a APEP han recibido hace varios días, sólo que ahora la Asociación la ha hecho pública.

El 24 de febrero de 2009 la Agencia Española de Protección de Datos declaró en la Resolución 00372/2009 que

“La Dirección General de Tráfico está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales contenidos en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al posibilitar que por parte de terceros se pudiera acceder, a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.”

Se declaraba infringido por tanto el artículo 9 de la Ley Orgánica de Protección de Datos, como infracción grave, y en consecuencia, se le requería para que adoptase las medidas oportunas para atajar esta situación.

Pero antes de continuar, contiene responder ¿por qué el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?

Veamos, para consultar los puntos hay dos vías: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vía.

Si un ciudadano decide consultar sus puntos sin utilizar certificado digital deberá seguir estas instrucciones que yo resumo de la siguiente manera:

• 1º: Introduce el NIF.
• 2º: Introduce la fecha de expedición del primer carnet de conducir.

Si el NIF coincide con la fecha, continúa el proceso:

• 3º: Introduce tu dirección de correo electrónico (cualquiera, una en @hotmail, @gmail o donde quieras)
• 4º: Recibe en tu correo electrónico la clave de acceso para consultar los puntos.

El avispado lector habitual de este blog ya debe percibir dónde está el problema.

En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.

El problema, según la Agencia Española de Protección de Datos (y creo que según cualquier ciudadano medio) se encuentra en la primera fase del proceso: NIF + fecha

Si queremos curiosear los puntos de cualquier ciudadano solo debemos conocer su NIF (nada difícil hoy en día gracias a los Boletines Oficiales, los buscadores de Internet, etc, o simplemente probamos uno al azar) y luego “descubrir” la fecha, que a estos efectos, haría las veces de “contraseña”.

Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas y menos aun si conoces aproximadamente la edad de la víctima, ya que lo habitual es sacarse el carnet entre los 16 y los 25 años de edad.
Si nos encontramos en este último supuesto estamos hablamos de un total de unas 3650 combinaciones posibles como máximo, menos si quitamos domingos y festivos ya que no sería posible haber obtenido el carnet en uno de esos días.

En la era de informática y la automatización el atacante no estaría toda la mañana probando una a una esas 3650 combinaciones sino que haría un pequeño programa o utilizaría algunos plugins para el Firefox para que el ordenador lo hiciera por él a velocidad ultra-rápida. 3650 combinaciones sería posible probarlas en menos de 15 minutos.

Por supuesto no hay un límite máximo de intentos fallidos al introducir la fecha de expedición, tenemos intentos ilimitados.

Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica: indicamos la que nos acabamos de abrir en Hotmail a nombre de Superman; en breves minutos recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de nuestro vecino, del político o famosete de turno. Es más, si el usuario ya tenía su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.

Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos vuelve el nombre y apellidos de esa persona. Un usuario malintencionado podría dejar durante varios días funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.

Como decía al principio, esto ha sido declarado ilegal por la AEPD, pero ¿la DGT lo va a cambiar para garantizar la intimidad de los ciudadanos? NO.

Luis de Eusebio, responsable de informática de la DGT, en declaraciones realizadas a El Mundo, afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.”

Y añade:

“El responsable de informática de la DGT, Luis de Eusebio, aclara que el sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”

Nadie debería asombrarse; en este país estamos acostumbrados a que se aborden cuestiones relativas a la seguridad una vez que ya se han producido los daños, eso de la “prevención” no se lleva. Y es lo que precisamente dice la DGT, hasta que no conste que un tercero ha accedido a los puntos de otra persona no van a cambiar nada. Eso sí, cuando esto ocurra, entonces se podrá exigir responsabilidad patrimonial a la Administración por negligencia en la custodia de la información personal que trata en sus ficheros.

Pero más grave me parece que una Administración, como la DGT, consciente de la ilegalidad de uno de sus servicios, se abstenga de solucionarlo esgrimiendo que “todavía no ha pasado nada”.

La AEPD de hecho tiene competencias para evitar coactivamente esta situación ilegal por parte de la DGT, el artículo 49 de la LOPD indica:

“En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.”

La AEPD podría inmovilizar ese tratamiento de datos ¿alguien se anima a requerirlo expresamente?

¿Por qué publicar esto ahora y no hace un año? He preferido esperar a ver si las declaraciones que aparecían en el medio de comunicación se cumplian o no, en otras palabras, he estimado que si en un año no han cambiado el sistema a pesar del requerimiento de la AEPD, es que efectivamente no lo van a cambiar hasta que “pase algo”. Y ESTO ES LO QUE CONSIDERO RELEVANTE.

Descargar resolución de la AEPD declarando ilegal el sistema de consulta de puntos de la DGT.

Siempre he criticado que las grandes Administraciones Públicas, las que manejan millones de datos personales de nosotros, no se toman en serio esto de la protección de datos de carácter personal; y esto así, al menos mi opinión, porque no son conscientes de lo valioso de la información que tratan y además parece no importarles lo que ocurra con ella.
Y prueba de ello es lo que hoy voy a contar, en primera persona.

Allá por octubre de 2007, como uno más de los varios millones de españoles, solicité una prestación contributiva por desempleo en Murcia.

Tras ser concedida se me entregó un “justificante de demanda de empleo” (DARDE), en el cual figuraba la fecha en la que me había dado de alta en el Servicio Público de Empleo Estatal (SPEE).
Y aquí comenzaron las irregularidades.

Se me informó que debía renovar la tarjeta (DARDE) en las fechas indicadas en ese documento y que podía hacerlo por Internet; para ello, debía acudir a la sección de “Tu oficina SEF en casa” de la dirección web http://www.sefcarm.es.
Una vez allí, sólo tendría que introducir mi número de DNI y como contraseña la fecha en la que me había dado de alta en el SPEE, o sea, la fecha que figuraba en el DARDE.

A cualquier aficionado en seguridad ya le debe llamar la atención que para acceder a un servicio público con cierta trascendencia para el ciudadano, la contraseña sea una fecha y encima impresa en un papel que tienes que llevar de un lado para otro y conservarlo durante muchos meses.
Pues sí, este mecanismo de “autenticación” perdura actualmente, siendo imposible modificar la “contraseña” (fecha de alta). Excuso decir, que aun desconociendo la fecha, ¿cuántas posibles combinaciones puede haber para un ciudadano medio? ¿2000? ¿3000? Pero esto es otra historia…

No había salido aun de mi asombro, cuando accedo al sistema: pongo mi DNI y la fecha correspondiente.

Al entrar se tienen una serie de servicios disponibles, me centraré aquí en el que me interesaba: renovación de la demanda de empleo (o consulta de de la demanda, es lo mismo).
Hacemos click, aparecen todos mis datos personales, incluidos los de formación, cursos, empresas en las que he podido trabajar, carnet de conducir, etc.
Solo me falta darle a “Renovar” y ya está, demanda de empleo renovada.

¿Problema?

Pues no explico el problema, indico lo que enviaba el navegador web justo después de hacer click sobre “Renovación de la demanda”:

GET http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos

Donde he puesto YYYYYYY figuraba mi número de DNI.

No hace falta tener una imaginación ciclópea para probar a poner en el navegador, directamente, esa misma dirección, pero en vez de YYYYYY (mi DNI) poner otro cualquiera, por ejemplo ZZZZZZZ, resultado: aparecen todos los datos personales del titular del DNI ZZZZZZZZ, incluyendo información sensible muy golosa para empresas de seguros, marketing y acreedores.

Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.

Este fallo de seguridad lo reporté a través del formulario de contacto que figuraba en la web del SPEE, sin obtener respuesta alguna a día de hoy.

Por otro lado y con ocasión de un pleito que inicié contra el SPEE, puse de manifiesto en la demanda y en la reclamación previa este fallo de seguridad; además, para que vieran lo sencillo que era, adjunte un CD con una grabación, paso a paso y explicando lo que hacía, para que tanto el juez como el SPEE vieran claro el problema. El resultado en el juicio: el abogado del Estado le dijo a su señoría que los fallos de seguridad existen y que tenemos que convivir con ellos, y que si un hacker quería podía entrar en la NASA y en el FBI, que la inseguridad informática no se puede evitar. El juez por su parte indicó en la Sentencia que “los principios de seguridad e intimidad, en ningún caso, deben prevalecer sobre los de transparencia, veracidad, legalidad y solidaridad“.

Misteriosamente, a pesar de haberse celebrado el juicio, el fallo de seguridad seguía sin resolverse (ya habían transcurrido más de 7 meses).

Esto ya me lo imaginaba, así que casi simultáneamente a la demanda jurisdiccional interpuse denuncia ante la Agencia Española de Protección de Datos por el problema de seguridad, aportando también el mismo CD.

De esta vía destaco algunas de las alegaciones que hizo el SPEE:

“El denunciante logró el acceso a los datos de los demandantes de empleo modificando el código fuente”

“El fallo se pudo llevar a cabo gracias a una reingeniería del sistema, utilizando ciertas capacidades de los navegadores web para observar el código fuente intercambiado entre dicho navegador y el servidor web del Sistema Nacional de Empleo y además modificación del código fuente para suplantar el DNI del usuario por un segundo DNI”.

La Agencia Española de Protección de Datos le pregunta al SPEE, que si a su juicio, “para ver el código fuente de una página web se requieren de extensos conocimientos de programación informática, o si se debió utilizar alguna herramienta especial” (jejeje, la AEPD ironiza).

El SPEE responde que:

“El denunciante usó lo que en el lenguaje informático se denomina un ataque de fuerza bruta, necesario para conocer los números de DNI. Además, el denunciante puede ser un experto en la materia como revela que dispone de una página web: www.samuelparra.com“

Sin embargo, la parte que más me gusta de la Resolución de la AEPD es la siguiente, en el Fundamento de Derecho Tercero:

“En lo que respecta a las alegaciones del SPEE que el acceso se produce por el denunciante, que dispone de una página web sobre protección de datos, es experto y tiene conocimientos amplios en la materia, se debe señalar que lo que esta persona desarrolló es una puesta a prueba del sistema y de sus datos, lo cual debía haber hecho el SPEE previamente a facilitar servicios de consulta… Lo que sí se acredita es que tanto en el CD como a través de los servicios de inspección, incluso con posterioridad a que el SPEE tuviera noticia a través de la reclamación previa y demanda ante el Juzgado, el sistema era accesible, hasta agosto de 2009″.

Finalmente la AEPD termina en declarar que se ha vulnerado gravemente el artículo 9 de la Ley Orgánica de Protección de Datos, es decir, el principio de seguridad. Además se declaran otras infracciones más que si el lector está interesado podrá consultar directamente en la Resolución.

Yo destacaría de este caso lo siguiente:

1: lo que tarda la Administración en reaccionar y reparar: más de un año
2: el poco interés en proteger los datos personales de los ciudadanos porque este fallo de seguridad es de una simplicidad extrema y no lo repararon hasta que se las vieron venir.

El diario El Mundo, en su edición del domingo 7 de marzo ha publicado esta noticia.

La Resolución 02714/2009 por la que se declara la infracción al SPEE aun no está disponible en la página web de la AEPD, pero se puede descargar desde aquí. (ojo, casi 10 megas).

A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho.

Una rutinaria inspección del Comisionado para el Mercado de Tabacos en una expendeduría de tabaco y timbre ha desvelado el uso perverso que se ha estado realizando con los datos personales de los interesados que dejan su curriculum con la intención de optar a un puesto de trabajo en dicho establecimiento.

A mediados del año 2008, este Comisionado inició un procedimiento sancionador contra la expendeduría, solicitándose la remisión de una serie de facturas.
Estas facturas eran de un importe muy superior al habitual para un consumo doméstico o personal (en torno a 6000 euros). El Comisionado entonces envió una copia de esta factura a cada uno de los supuestos clientes para que confirmasen si en efecto habían comprado tabaco por esa cantidad.

La sorpresa vino en las respuestas de estos “clientes”. Varios de ellos afirmaron que no habían comprado nada y que la única relación que habían tenido con ese estanco fue la de dejarles su curriculum al ver el clásico cartel de “Se busca dependienta”.

En vista de estos hechos, el Comisionado presenta denuncia ante la Agencia Española de Protección de Datos por entender que se ha vulnerado el derecho a la protección de datos de estas personas.

La Agencia inicia el correspondiente procedimiento sancionador y se le notifica a la denunciada para que alegue lo que estime oportuno.

¿Qué fue lo que alegó la propietaria del establecimiento?, pues cito textualmente:

“En el momento de imprimir las facturas que nos habían sido solicitadas, la persona encargada dio a la tecla equivocada y seleccionó el listado de personas solicitantes de empleo y no el de clientes del estanco. Como el plazo que se nos había concedido no era mucho para la aportación de facturas, no se dispuso de tiempo para revisarlas y se mandaron al Comisionado con los datos equivocados”.

Sin comentarios…

El asunto es que aunque le haya dado a la tecla equivocada o pulsase el botón del ratón que no era, las facturas se emitieron, utilizando los datos personales de solicitantes de empleo, sin su consentimiento obviamente.

El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

La Agencia finalmente le impone una multa de 60101.21 euros por el tratamiento sin consentimiento de estos datos personales.

Descarga de la Resolución

Las técnicas de las empresas de cobro a morosos son cada vez más agresivas e invasivas. Entre sus prácticas habituales están la de poner en conocimiento de vecinos y familiares la deuda, o como el caso expuesto, enviar faxes a la empresa donde trabajar el deudor para informarle de la existencia de dicha deuda.

Pero ¿por qué es ilegal enviar el fax en esas condiciones? Vamos a explicarlo con la Sentencia de la Audiencia Nacional de 12 de noviembre de 2009 como ejemplo.

Como nota meramente informativa, esta Sentencia trae causa de un recurso presentado por Aslenga S.L. Cobro de impagos (denominada El torero del moroso) contra la Resolución de la Agencia Española de Protección de Datos (AEPD) por la que se le imponía una multa de 12000 euros por vulnerar el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) en relación al 12.4 LOPD.

Veamos los hechos. El 26 de abril de 2006 la empresa Aslenga S.L. “El torero del moroso” remite varios faxes al número correspondiente a la empresa X, empresa donde trabaja el deudor; estos faxes son retirados por un empleado cualquiera aunque van dirigidos a nombre del deudor y en ellos se le informa de la existencia de una deuda.

Aslenga S.L. suscribió un contrato con Postmobel S.L. para la gestión del cobro de diversas deudas, entre ellas la que se menciona en el fax. Este contrato se enmarca dentro del artículo 12 de la LOPD por lo que no es necesario el consentimiento del deudor para que se faciliten sus datos al cobrador de morosos.

En el cuerpo del fax se puede leer, entre otra información: “ruego se ponga en contacto con nosotros para negociación de la deuda, de la cual ya le informamos telefónicamente“. Esta frase, unido al contexto del documento, y el nombre del remitente (El torero del moroso) llevan a la conclusión a la AEPD y posteriormente a la Audiencia Nacional a entender que permiten establecer la calificación de los interesados como morosos en las obligaciones dinerarias surgidas a consecuencia de alguna operación crediticia o mercantil. Esto es, permite establecer una evaluación de la personalidad de los individuos.

Puestos en situación, lo relevante bien ahora, al afirmar la Audiencia que:

“Teniendo en cuenta que dicho medio de comunicación (fax) no garantiza la confidencialidad de los datos expuestos en los documentos, dado que no puede garantizarse que quien recepciona el fax es el propio interesado, debe considerarse que ASLENGA, SL. ha vulnerado el deber de secreto que exige la LOPD y que la citada infracción cometida por ASLENGA, S.L. debe considerarse como grave…”.

¿Qué deber de secreto exige la LOPD?, el deber de secreto del artículo 10:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

El citado artículo 10 pauta de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo en los supuestos recogidos en otros preceptos de la LOPD, como el Art. 11 (comunicación de datos) o el artículo 12 (acceso a los datos por cuenta de terceros).

La Audiencia concluye en el sentido de entender que ASLENGA, SL. ofrece información relevante en el centro de trabajo de los deudores. Así, no ofrece duda la vulneración del deber de secreto por parte de ASLENGA, SL al haber revelado tales datos a terceros sin el consentimiento de los denunciantes y sin que concurran ninguno de los supuestos previstos en los artículos 11 y 12 de la LOPD.

Desestima por tanto el recurso presentado por Aslenga S.L. y confirma la sanción de 12000 euros.

Por último ¿qué hicieron los deudores para obtener este pronunciamiento de la AEPD sancionando a la empresa acosadora y torera de morosos? Presentar denuncia ante la AEPD.

Es importante denunciar esta clase de prácticas abusivas porque es la única manera de librarnos de ellas.

Descargar Sentencia de la Audiencia Nacional.