El procedimiento sancionador PS/00687/2008, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ESTUDIOS SAN MIGUEL DE ZARAGOZA, S.L., se inició a raiz de la denuncia presentada por DÑA. L.L.L. en la que indicaba que tras haber hecho un curso descubrió que introduciendo su nombre en el buscador de Internet GOOGLE aparecían todos sus datos personales, Nombre, Dirección, teléfono, Nº Seg. Social y dirección de e-mail, procediendo dicha ficha de la página web de la citada academia.
El centro de estudios explicó:
A la hora de establecer la sanción, el instructor indica:
El centro de estudios explicó:
Debido a un desafortunado error técnico en la configuración de los equipos de comunicación (indebida apertura de un puerto en el router), una página destinada al uso interno del personal administrativo y de acceso restringido quedó temporalmente indexada por Google mostrando datos personales del alumno al realizar una búsqueda detallada…..”
En el instante que se produjo la incidencia…el responsable informático, corrige el error informático para evitar que se pueda acceder a la información a través del exterior del centro. Dicho error que permitió temporalmente acceder desde el exterior a esos datos, se produjo durante el proceso de actualización del servidor de información de Internet, quedando expuesta dicha información durante un periodo de tiempo no superior a 48 horas (…)
A la hora de establecer la sanción, el instructor indica:
Por otro lado, teniendo en cuenta que es un hecho aislado, con una duración temporal limitada, rápidamente corregida mediante las medidas adoptadas, tal como queda acreditado en el antecedente segundo, apartado b.2) y en las alegaciones a la propuesta de resolución posible apreciar la concurrencia de disminución de la culpabilidad y procede imponer la sanción en su cuantía de 2000 €.Argumentos bastante razonables y además habituales en la aplicación del artículo 45.5 de la LOPD. Por eso sorprende que además se haya añadido este texto:
En el presente caso, teniendo en cuenta que Centro de Estudios no es una empresa vinculada directamente al marco de las nuevas tecnologías de la información, es por ello, que no cabe atribuirla un grado de culpabilidad en la no adopción de sus medidas de seguridad, equivalente a supuestos vinculados a profundos conocimientos técnicos.Que yo recuerde este es un eximente novedoso: "empresa no vinculada directamente con las TIC". ¿Alguien lo conocía?