Anexo XVII Caso práctico sobre las infracciones y sanciones de la LOPD Álvaro Gómez Vieites
CONTENIDO INFORMACIÓN SOBRE LAS EMPRESAS MUEBLIBAÑO Y MUEBLICOCINA... 1 PREGUNTAS SOBRE EL CASO... 4 SOLUCIÓN PROPUESTA... 5
ANEXO XVII CASO PRÁCTICO SOBRE LAS INFRACCIONES Y SANCIONES DE LA LOPD Se presenta en este apartado un caso práctico preparado por el autor para analizar el régimen de infracciones y de sanciones aplicables en caso de incumplimiento de algunos de los preceptos de la LOPD. Se trata de un caso inventado, en el que se incluyen datos totalmente ficticios sobre empresas y personas físicas 1, pero que se basa en otros ejemplos reales de sanciones impuestas en estos últimos años por la Agencia de Protección de Datos en España. INFORMACIÓN SOBRE LAS EMPRESAS MUEBLIBAÑO Y MUEBLICOCINA Doña Elisa Fernández creó hace 15 años en Vigo una pequeña empresa familiar, Mueblibaño, S.L., dedicada a la comercialización e instalación de muebles de baño. El crecimiento de su negocio en estos últimos años le animó a poner en marcha una nueva actividad en el año 2003 dedicada a la comercialización e instalación de muebles de cocina, y por motivos fiscales decidió hacerlo creando una nueva sociedad limitada con su propio CIF, denominada Mueblicocina, S.L.. Las dos sociedades comparten las instalaciones, el personal (los empleados están contratados por las dos sociedades), así como todos los recursos informáticos y 1 Cualquier parecido con la realidad es mera coincidencia.
2 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA aplicaciones informáticas de la empresa. No obstante, conviene destacar que a efectos legales se trata de dos personas jurídicas distintas (cada una con su propio CIF), por lo que en lo sucesivo las trataremos como dos empresas que configuran un grupo empresarial. Tras haber leído alguna noticia sobre la necesidad de proteger los datos personales y la severidad de las sanciones impuestas en España por la Agencia Española de Protección de Datos, la gerente de estas dos empresas decidió interesarse por el tema y encargó a uno de sus empleados que realizase los trámites para cumplir con los requisitos formales exigidos por la Ley Orgánica de Protección de Datos. De este modo, el empleado responsable de esta tarea procedió a inscribir en el Registro General de Protección de Datos los ficheros de clientes y de proveedores de las empresas Mueblibaño, S.L. y Mueblicocina, S.L. a principios del año 2003. La gerencia consideró que no sería necesario inscribir más ficheros, ya que los datos de los empleados para la confección de las nóminas estaban en poder de la asesoría laboral Labora, S.L., a la que se había subcontratado dicho trabajo. No obstante, los datos necesarios para la confección de las nóminas, así como la información sobre los porcentajes de retención del I.R.P.F. a practicar a cada empleado en función de su situación personal y familiar (uno de los empleados de estas empresas presenta una pequeña discapacidad, que debe ser tenida en cuenta para el cálculo del porcentaje de retención del I.R.P.F.) son enviados por correo electrónico a la asesoría laboral, en un fichero de Excel sin encriptar. Por otra parte, en algunos de los proyectos realizados, y con el fin de transmitir una mayor confianza de cara al cliente, la gerencia adoptó la política de presentar una breve reseña curricular de cada uno de los empleados que participarían en la instalación, adaptación y montaje de los muebles, destacando su formación y años de experiencia en el sector. Para poder dar a conocer los productos de sus empresas a un mayor público objetivo, en noviembre de 2004 la gerencia decide poner en marcha un nuevo Website para las dos empresas, ofreciendo nuevos servicios a sus clientes y potenciales clientes. De este modo, se incorpora un vistoso catálogo con amplia información sobre los distintos productos ofrecidos, destacando la calidad y esmerado cuidado en el proceso de instalación y montaje. Para ello, y con objeto de ganar la confianza del potencial cliente, se incluyen fotografías de los empleados en la ejecución de distintos proyectos de montaje de muebles. En este Website también se incluye un interesante servicio para los clientes que han solicitado un presupuesto a alguna de las dos empresas, consistente en el acceso mediante un nombre de usuario y una contraseña a una zona restringida con información sobre sus presupuestos y el seguimiento del estado de sus pedidos (cuándo se instalarán los muebles, en qué situación se encuentra cada una de las partes del pedido, cuál ha sido el presupuesto finalmente aceptado, etcétera).
RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 3 Para informar de la existencia de este nuevo Website, la gerencia decide llevar a cabo un mailing a todas las personas que tiene registradas como clientes en la base de datos compartida por las dos empresas. La carta será remitida en nombre de las dos empresas (figurarán los logos y los datos de identificación de ambas empresas), y además se incluirá en el texto información detallada relativa a los proyectos que se realizaron en su día para cada uno de los clientes. Por otra parte, la gerencia encarga a uno de sus empleados que prepare un nuevo listado de potenciales clientes de determinadas calles de Vigo donde se han construido recientemente nuevos edificios y bloques de viviendas, para que también se pueda enviar información personalizada a cada una de estas personas que podrían estar interesadas en los productos ofrecidos por Mueblibaño y Mueblicocina. Para ello, el empleado accede a un directorio telefónico informatizado del año 2002 y selecciona más de 200 personas que figuran como residentes en las calles propuestas por la gerencia. Sin embargo, una vez realizado el mailing a la base de clientes compartida por las dos empresas, así como al listado obtenido de potenciales clientes extraído del directorio telefónico del año 2002, la empresa recibe una comunicación de la Agencia de Protección de Datos en la que se le informa que se han recibido sendas denuncias en este organismo por un tratamiento de datos no consentido, realizadas por dos personas destinatarias del mailing. Tras realizar las oportunas averiguaciones, resulta que una de estas personas es un antiguo cliente que quedó descontento con la instalación y montaje de los muebles en un proyecto realizado hace un par de años, mientras que el otro denunciante es una de las personas seleccionadas a través del listín telefónico, que se había dado de baja del mismo en el año 2003 para no recibir publicidad. La situación se complica para Mueblibaño y Mueblicocina por un grave problema de seguridad en su Website. Por desconocimiento y un cierto desinterés del responsable de informática de estas dos empresas, propiciado en parte porque la gerencia tampoco concede ningún valor a este tipo de actividades ( es un gasto poco útil para nuestra empresa, que no contribuye a mejorar las ventas ni la relación con nuestros clientes ) no se han venido actualizando los parches de seguridad publicados por Microsoft y otros fabricantes de software. Por ello, el servidor Web de la empresa presenta un importante agujero de seguridad, que fue aprovechado por un hacker para tomar el control de este servidor y facilitar el acceso sin ningún tipo de restricción a sus contenidos a cualquier usuario de Internet. Como consecuencia de este problema de seguridad, los datos de los clientes y de los proyectos en curso estuvieron abiertos en Internet y al alcance de cualquier usuario de la Red. Este grave problema de seguridad desemboca en una inspección de oficio por parte de la Agencia de Protección de Datos, debido a que la noticia sobre el incidente de seguridad se publica en un medio de comunicación local. Por último, un ex-empleado de Mueblibaño y Mueblicocina también decide presentar una denuncia ante la Agencia de Protección de Datos por haber sido
4 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA incluida su foto en el catálogo Web de estas dos empresas, y haber sido entregada una reseña de su currículum vitae como parte de la información incluida en la oferta presentada a diversos clientes de estas empresas. La inspección llevada a cabo por la Agencia de Protección de Datos pone de manifiesto que en los impresos en papel y formularios Web donde se recaban datos de carácter personal no se informa a los interesados de que sus datos personales van a ser sometidos a un tratamiento informático por parte de alguna de las dos empresas del grupo. Asimismo, se constata en esta inspección que no existe un registro de incidencias ni un registro de entradas y salidas de soportes, y que apenas se han implantado medidas de seguridad lógica en la red local de estas dos empresas (control de accesos a las carpetas y los ficheros). Por otra parte, se ha descuidado totalmente la política de contraseñas, hasta el punto de que varios usuarios comparten la misma contraseña o conocen la de sus compañeros para poder acceder a sus equipos informáticos. PREGUNTAS SOBRE EL CASO A la vista de los hechos anteriormente expuestos, se pide al grupo de trabajo resolver las siguientes cuestiones: 1. Identificar las distintas infracciones cometidas por estas dos empresas, de acuerdo con lo dispuesto en la Ley Orgánica de Protección de Datos. 2. Determinar la cuantía de las sanciones que impondría la Agencia Española de Protección de Datos como consecuencia de las infracciones anteriormente señaladas, considerando que, por tratarse de la primera vez que se sanciona a estas dos empresas y que el volumen de datos personales afectados no fue muy elevado, la Dirección de la Agencia decidiese aplicar las sanciones mínimas previstas por la LOPD para cada tipo de infracción.
RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 5 SOLUCIÓN PROPUESTA Infracciones cometidas por cada una de estas dos empresas: No se inscribe el fichero de nóminas en el RGPD. Este fichero incluye datos de nivel alto (información sobre posibles minusvalías a efectos del cálculo de la retención del IRPF de los trabajadores de la empresa). La infracción se considera leve => Sanción aplicable: 601. Incumplimiento de las Medidas de Seguridad: Los datos con la información necesarios para la confección de las nóminas se envían sin encriptar a la asesoría laboral. La empresa no ha tenido en cuenta la adecuada configuración y revisión de los parches de seguridad de su servidor Web, y como consecuencia los datos de los clientes quedan expuestos durante unas horas en Internet al alcance de cualquiera que los desee consultar. No se ha realizado un contrato con la asesoría laboral en el que se incluyan las cláusulas exigidas por la LOPD para garantizar la adecuada protección de los datos personales objeto de un tratamiento por cuenta de un tercero. No existe un registro de incidencias ni un registro de entradas y salidas de soportes, y apenas se han implantado medidas de seguridad lógica en la red local de estas dos empresas (control de accesos a las carpetas y los ficheros). Se ha descuidado totalmente la política de contraseñas. Por todas estas circunstancias, la infracción se considera grave => Sanción aplicable: (aunque el cúmulo de circunstancias que concurren en este caso particular podría ser tenido en cuenta para elevar la cuantía de la sanción finalmente impuesta). Se produce una cesión de datos de clientes de la empresa 1 a la empresa 2, sin que exista un consentimiento por parte de las personas afectadas. De hecho, dado que ambas comparten la misma base de datos de clientes, la empresa 2 realiza un mailing a clientes pertenecientes a la empresa 1 (sin que estos clientes hayan dado su consentimiento para que se pueda producir tal cesión de datos).
6 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA La infracción se considera muy grave => Sanción aplicable: 300.506. En la campaña de lanzamiento del Website de la empresa 1 se lleva a cabo un mailing a un listado de clientes de la empresa y a un listado de clientes de la empresa 2. Los datos de clientes de la empresa 2 están siendo tratados por la empresa 1 sin haber recibido su consentimiento expreso. La infracción se considera grave => Sanción aplicable: 60.101. Para completar el mailing citado en el párrafo anterior, se emplea un listado de potenciales clientes extraído de un directorio telefónico del año 2002. Dado que el listado procede de un directorio telefónico de hace un par de años, y ya se han publicado directorios actualizados desde entonces, ha perdido su carácter de fuente de acceso público. Por ello, el tratamiento de los datos de las personas que no figuren en el directorio telefónico actualizado se considera un tratamiento de datos no consentido (como es el caso para el ciudadano que se dio de baja del directorio en el año 2003, y que ha presentado la denuncia en la Agencia de Protección de Datos). La infracción se considera grave => Sanción aplicable: 60.101. El Website de la empresa incluye fotografías de la oficina y del almacén, así como algunas fotografías de los empleados claramente identificados trabajando. Por otra parte, se ha incluido una reseña curricular de los empleados en algunas de las ofertas presentadas a los clientes de la empresa. Nuevamente se trata de un tratamiento de datos no consentido por el interesado, que excede de lo estrictamente necesario como consecuencia de la relación laboral.
RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 7 La infracción se considera grave 2 => Sanción aplicable: 60.101. Por último, la empresa no ha venido informando a los clientes y potenciales clientes que sus datos personales iban a ser sometidos a un tratamiento informatizado, tal y como exige la LOPD. En este caso se trata de una infracción leve => Sanción aplicable: 601. 2 La entrega de la reseña curricular a los clientes también podría ser considerada una cesión de datos no consentida, por lo que en ese caso estaríamos ante una infracción muy grave.
8 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA Procedimiento sancionador contra la empresa Mueblibaño : Infracción 1: no inscripción de un fichero de datos personales de nivel alto Infracción 2: incumplimiento de las medidas de seguridad que toda organización con ficheros de datos de carácter personal deben implantar Infracción 3: cesión de datos de clientes a la empresa Mueblicocina no consentida por los interesados Infracción 4: tratamiento no consentido de datos de clientes de la empresa Mueblicocina Infracción 5: tratamiento no consentido de datos de personas que ya no figuran en una fuente accesible al público Infracción 6: tratamiento no consentido de datos de los empleados, que excede de lo estrictamente necesario por la relación laboral existente 601 300.506 Infracción 7: incumplimiento del deber de información 601 TOTAL 542.112 Procedimiento sancionador contra la empresa Mueblicocina : Infracción 1: no inscripción de un fichero de datos personales de nivel alto Infracción 2: incumplimiento de las medidas de seguridad que toda organización con ficheros de datos de carácter personal deben implantar Infracción 3: cesión de datos de clientes a la empresa Mueblibaño no consentida por los interesados Infracción 4: tratamiento no consentido de datos de clientes de la empresa Mueblibaño Infracción 5: tratamiento no consentido de datos de personas que ya no figuran en una fuente accesible al público Infracción 6: tratamiento no consentido de datos de los empleados, que excede de lo estrictamente necesario por la relación laboral existente 601 300.506 Infracción 7: incumplimiento del deber de información 601 TOTAL 542.112