El procedimiento sancionador PS/00459/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INTRASOFT, S.L. se inició tras el escrito de denuncia presentado por D. B.B.B. en el que manifestaba que a través de la página web de PERÍS CORREDURÍA DE SEGUROS, S.A. (en adelante PERIS):
INTRASOFT admitió:
(...) rellenó con sus propios datos personales los distintos formularios de datos requeridos para solicitar el seguro de su motocicleta. Y en el último paso, al finalizar la tramitación de dicha solicitud, y tras así ser requerido por la propia página web, imprimió el comprobante de solicitud de seguro.
En éste comprobante impreso figura la dirección URL http://www....X..../....../....../................
Con motivo de conservar una copia del comprobante en papel, introdujo la dirección URL que aparecía en el comprobante para imprimirlo de nuevo, observando cómo el comprobante de solicitud de seguro, con todos los datos de índole personal, bancarios y de salud, aparecía sin requerir ningún tipo de identificación personal, a través de un nombre de usuario y contraseña o cualquier otro medio de acceso seguro. Este hecho se comprueba en días sucesivos y desde ordenadores distintos.D. B.B.B. no se conformó con esta prueba y además acudió a un notario:
Para que a través del ordenador de mi despacho entre en la pagina web http://www....X../..../.. y una vez en la misma compruebe por apreciación directa que los datos personales del requirente aparecen en la misma sin pedir ningún tipo de contraseña para ello. Acepto el requerimiento…comprobando que se accede a una página en la que aparecen datos de requirente y que en ningún momento se solicita nombre de usuario ni contraseña alguna. He impreso dicha pagina que queda unida a la presente acta.Por su parte los inspectores de la AEPD comprobaron que modificando la ID de la URL citada se podía acceder a los datos de otras personas:
verificado que se visualizan los datos personales de doce personas físicas, sin que exista un procedimiento de identificación y de autenticación para el citado acceso.
Entre la información a la que se ha tenido acceso de las doce personas físicas se encuentra: nombre, apellidos, NIF, dirección postal, dirección electrónica, teléfono, fecha de nacimiento, estado civil, sexo, fecha de expedición y tipo de carnet, profesión, datos del vehículo, datos relativos a la póliza en vigor y cuenta corriente. También consta información relativa a: fumador, bebe habitualmente, practica deporte de riesgo, viaja frecuentemente, tensión máxima y mínima, peso y altura.La correduría de seguros PERIS acreditó que tiene suscrito y en vigor un contrato con la empresa de informática INTRASOFT, en virtud del cual dicha entidad viene prestándole servicios de tratamiento de datos de carácter personal, asumiendo en virtud de dicho contrato y a todos los efectos la condición de Encargado de Tratamiento. Asímismo demostró que cumplía las obligaciones documentales de la LOPD y que había inscrito el correspondiente fichero en el RGPD, declarándolo de nivel alto.
INTRASOFT admitió:
(...) que los datos de ciertas personas que han solicitado un seguro han podido ser visualizados mediante este recurso (…) la causa por la que se esto ha podido suceder consistió, tal y como ahora hemos podido verificar, en un error en la funcionalidad del servicio web, no previsto y producido accidentalmente en un desarrollo (...)En su recurso, la empresa informática intenta anular el proceso por haber prescrito (siendo su única opción, ya que por lo demás todo está muy claro) sin conseguirlo.
Por todo ello, en base a los criterios de graduación establecidos en el artículo 45.4 de la LOPD, y, en especial, a la falta de intencionalidad observada en el procedimiento, procede proponer la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INTRASOFT, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.Esta Resolución ha sido recurrida.