Tecnologías de la Información
Madrid, Octubre de 2016
La AEPD sanciona a dos importantes cadenas de tiendas por vender dispositivos electrónicos que contenían datos personales “El enemigo está en casa” En los últimos años, hemos tenido conocimiento de innumerables ataques informáticos, muchos de ellos sofisticados, contra grandes corporaciones que han conllevado la revelación de millones de datos personales de usuarios y clientes. De hecho, recientemente, Yahoo! ha confirmado un ciberataque, ocurrido a finales de 2014, que afectó a alrededor de 500 millones de cuentas. Los atacantes tuvieron acceso, según la información difundida, a datos como nombres, direcciones de correo, contraseñas y números de teléfono de usuarios de Yahoo!. La compañía se ha apresurado a resaltar que la información relativa a tarjetas de crédito o cuentas bancarias no se ha visto comprometida como resultado del incidente. Las noticias relacionadas con robos de información o fallos de seguridad que provocan el acceso indebido a datos de carácter personal son cada vez más frecuentes. Se cree que el mismo grupo hacker que atacó a Yahoo! fue el responsable de ataques similares a Linkedin y Dropbox, incidentes que también han tenido una amplia repercusión mediática. Sin embargo, el ataque de 2015 al portal de citas Ashley Madison es, probablemente, el que ha dado lugar a un mayor número de artículos en prensa y comentarios (el ataque tuvo como resultado la filtración y publicación de datos de 37 millones de usuarios, algunos de ellos famosos). Una prueba de la importancia creciente de este tipo de incidentes es la regulación de lo que se ha denominado como “violaciones de seguridad” en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), y que se definen como: “Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. A partir del 25 de mayo de 2018, fecha de entrada en vigor del RGPD, existirá la obligación de notificar, en un plazo de 72 horas, tras haber tenido constancia de ello, las brechas de seguridad a la Agencia Española de Protección de Datos (“AEPD”). Igualmente, se deberá informar a los afectados (si el incidente puede suponer un grave riesgo para sus derechos y libertades). Régimen actual No obstante, lo anterior, bajo el marco normativo actual (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o “LOPD”), que no recoge las obligaciones de notificación arriba citadas (salvo en el sector de las telecomunicaciones desde el 2013 conforme a su normativa específica), las sanciones por brechas de seguridad son muy relevantes; y en la mayoría de las ocasiones no obedecen a complejos ataques planeados por hackers externos con el objetivo de causar el mayor daño posible o coaccionar a la entidad atacada, sino que se originan por simples errores, inobservancia de los procedimientos, descuidos, actuaciones negligentes, etc.
Prueba de ello son dos de las últimas resoluciones publicadas por la AEPD que detallamos a continuación: Venta de un disco duro con datos del departamento de Recursos Humanos de la tienda (PS/00044/2016) En noviembre de 2014, un cliente entró en el establecimiento de la cadena WORTEN ESPAÑA S.L. (“WORTEN”) en Sevilla y compró un disco duro extraíble que se encontraba en oferta, aparentemente, por tener un defecto en la cobertura exterior. Al llegar a su domicilio comprobó que el disco duro en cuestión había sido utilizado con anterioridad y que se encontraban almacenados en el mismo distintos documentos relativos a la gestión de RRHH de una tienda WORTEN: valoraciones de capacidad y desempeño de los trabajadores, comunicaciones de embarazo, partes de baja, etc. Del texto de la resolución comentada, se deduce que el cliente se puso en contacto con el establecimiento que le vendió el producto para informar de lo que había encontrado y llegó a interponer una reclamación. Desconocemos el contenido de la misma ni las conversaciones que pudo tener con los responsables de la tienda. De lo que sí se deja constancia (y se aportan copias) es de un burofax que remitió WORTEN al cliente en el que le ofrecen cambiar el disco duro adquirido por otro y le requiere para que destruya toda la información que obra en su poder, advirtiendo que, de no hacerlo, se denunciarían los hechos a la Policía. Sin embargo, quien finalmente denunció los hechos, a través de la asociación FACUA fue el cliente. Como resultado de dicha denuncia, la AEPD abrió un procedimiento sancionador. Según WORTEN, el usuario intentó presionar a la compañía para obtener algún tipo de beneficio del hallazgo, aunque no se aporta ninguna prueba de ello en el procedimiento. En cualquier caso, WORTEN no ofrece ninguna explicación, salvo un fallo en las políticas existentes, que justifique por qué un disco duro con datos de carácter personal gestionados por su departamento de Recursos Humanos fue puesto a la venta en uno de sus establecimientos. De acuerdo a lo manifestado por la entidad, “dicho disco duro se utilizó en contra de las políticas establecidas por WORTEN en el Documento de Seguridad, según el cual no se permite el almacenamiento de datos en soportes automatizados distintos de los equipos asignados. Dicho Documento es conocido por todos los usuarios desde el momento de su contratación. Además, ese disco, una vez usado, fue repuesto por el usuario a su caja original con destino a la venta, en contra de las políticas comerciales de la compañía”. La AEPD considera que WORTEN ha incumplido el artículo 9 de la LOPD, que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, y que eviten, entre otras cosas, el acceso no autorizado por parte de terceros. Como en otras resoluciones en las que se analiza el cumplimiento del principio de seguridad, la AEPD resalta que se trata de una obligación de resultado, es decir, que “conlleva la exigencia de que las medidas implantadas deben impedir, de forma efectiva, el acceso a la información por parte de terceros”. De esta forma, se exige un deber especial de “diligencia en la custodia de la información por el responsable” y no basta con invocar la ausencia de culpa (se trata de un fallo de las políticas existentes en la compañía) para evitar la sanción prevista en la normativa vigente. A este respecto, la AEPD recuerda el criterio mantenido por el Tribunal Supremo y la Audiencia Nacional: “El Tribunal Supremo (STS 16 de abril de 1991 y STS 22 de abril de 1991) considera que del elemento culpabilista se desprende “que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.” El mismo Tribunal razona que “no basta...para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa” sino que es preciso “que se ha empleado la diligencia que era exigible por quien aduce su inexistencia.” (STS 23 de enero de 1998). A mayor abundamiento, la Audiencia Nacional en materia de protección de datos de carácter personal, ha declarado que “basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia...” (SAN 29 de junio de 2001).” El incumplimiento de la obligación establecida en el artículo 9 de la LOPD se considera una infracción grave, sancionada con multa de 40.001 euros a 300.000 euros. No obstante, se impone finalmente una multa de 20.000
euros atendiendo a la ausencia de reincidencia y a que los hechos denunciados se producen por un fallo puntual de las medidas de seguridad adoptadas. Un teléfono móvil devuelto se muestra en el expositor de la tienda con fotografías del primer comprador (PS/00037/2016) En el procedimiento sancionador PS/00037/2016, la entidad MEDIA MARKT SANTANDER VIDEO TV HIFI ELEKTRO COMPUTER FOTO, S.A.U. (“MEDIA MARKT”) es sancionada también por un incumplimiento del artículo 9 de la LOPD. El denunciante adquirió en una de las tiendas de la cadena un teléfono móvil para su hija menor de edad, que devolvió debido a su mal funcionamiento. El terminal había sido utilizado durante un corto periodo de tiempo y contenía fotografías. Aparentemente, el denunciante pidió a la tienda que le facilitaran una copia de las mismas, y se le indicó que si el teléfono no encendía, no era posible acceder a su contenido y se procedería a destruirlo. Sin embargo, un amigo de sus hijos le informó días más tarde que había visto fotografías de la familia en un teléfono móvil colocado en los expositores de MEDIA MARKT (además, hizo fotografías del teléfono que más adelante fueron presentadas como prueba por el denunciante). MEDIA MARKT alega en su defensa dos puntos fundamentales:
En primer lugar, sus Condiciones Generales de Contratación establecen que es obligación del cliente eliminar cualquier dato de carácter personal que puedan contener los dispositivos que devuelve a la tienda: “El comprador garantiza y será responsable de que el producto objeto de cambio o devolución no contenga datos personales y que ha procedido previo a su cambio o devolución, a eliminar cualquier información de carácter personal que haya almacenado en el dispositivo durante su uso, así como, a la desactivación de cualquier plataforma que haya utilizado para compartir o transferir información”. Este punto, sin embargo, es obviado por la AEPD. En segundo lugar, dispone de procedimientos para garantizar el borrado de los datos de carácter personal que pudieran contener los dispositivos devueltos por los compradores que no cumplieran con la obligación anteriormente expuesta. En concreto, cuenta con un “Protocolo de eliminación de datos en dispositivos electrónicos”, del que han sido informado sus empleados, y que fija los pasos para eliminar información contenida en terminales devueltos. Además, ha contratado un software que permita certificar el borrado de datos en los equipos que devuelven los clientes. De acuerdo a MEDIA MARKT, el caso objeto de denuncia se produjo debido un fallo puntual.
La AEPD considera que no se trata “de imponderables que escapen del control y de la exigencia debida, sino de una incidencia producida en el ámbito de responsabilidad de MEDIA MARKT, que consta anotada en su registro de incidencias”. No obstante, a pesar de que la vulneración del principio de seguridad se considera una infracción grave, que implica multas de 40.001 euros a 300.000 euros, impone una sanción de 2.000 euros a MEDIA MARKT, aplicando la escala relativa a las infracciones leves. La AEPD valora positivamente las pruebas aportadas por MEDIA MARKT sobre los procedimientos implantados en la compañía, así como “el volumen de datos personales afectados por la incidencia; la ausencia de intencionalidad, la ausencia de beneficios y de perjuicios distintos a los que derivan de la propia infracción, así como la naturaleza de la información contenida en el terminal objeto de la denuncia”. Conclusión En ambos casos, los fallos de seguridad parecen haber sido ocasionados por desconocimiento de las políticas aprobadas por la compañía o por errores/descuidos de los trabajadores encargados de aplicarlas, muy lejos de esa sofisticación que el usuario entiende aplica en situaciones de violaciones de seguridad. Las resoluciones ponen de manifiesto la necesidad de formar adecuadamente al personal y realizar auditorías periódicas de los procedimientos establecidos.
Las resoluciones de la Agencia de Protección de Datos pueden consultarse en los siguientes links: PS/00044/2016 (Worten) PS/00037/2016 (Media Markt)
Más Información Norman Heckh Socio
[email protected]
www.ramonycajalabogados.com
María Luisa González Tapia Abogado Senior
[email protected]
Almagro, 16-18 28010 Madrid T +34 91 576 19 00 F +34 91 575 86 78
Elisabet Viñes Vila Abogado Junior
[email protected]
Caravel•la La Niña, 12, 6ª planta 08017 Barcelona T +34 93 494 74 82 F +34 93 419 62 90
Emilio Arrieta, 6 1º Derecha 31002 Pamplona T +34 94 822 16 01
