Hacía tiempo que no comentaba una sanción de la serie "se lo llevó a casa un empleado", para justificar la aparición en una red P2P de información con datos de carácter personal provenientes de una empresa.
En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.
Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.
Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.
Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.
Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.
Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:
En el procedimiento sancionador PS/00601/2008, instruido por la Agencia Española de Protección de Datos a la entidad OYONARTE INMOBILIARIA, S.L., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, al parecer gestionadas por ACAL Administradores.
Del análisis de los ficheros informáticos remitidos por la Policía Local de Ourense se observó que se trataba de varias tablas algunas de ellas con datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas.
Entre las actividades que desarrolla la sociedad Oyonarte Inmobiliaria se encuentra la de administración de fincas y, en particular la gestión económica, por lo que disponen de datos personales de sus integrantes, y para ello utilizan el nombre comercial ACAL.
Se verificó a través de la compañía Jazz Telecom, S.A. que los ficheros compartidos procedían de la conexión realizada a través de una dirección IP que correspondía a un particular.
Notificado el acuerdo de inicio, Oyonarte Inmobiliaria, S.L. formuló alegaciones, solicitando la aplicación del artículo 45.5 y alegando que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular.
Este tipo de alegación, como ya hemos visto en numerosas ocasiones, es desestimada por la Agencia:
Así, Oyonarte Inmobiliaria, S.L. estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación.Aunque se utiliza en parte para justificar la aplicación del artículo 45.5 y por tanto una notable rebaja a la hora de aplicar el régimen sancionador:
En el presente caso, si bien la entidad imputada vulneró el principio de seguridad de los datos al no adoptar las medidas necesarias para evitar el acceso a los datos por parte de terceros, desde la óptica de la culpabilidad, ha de tomarse en consideración, como medida adoptada por la empresa, que el programa “eMule” no se encontraba instalado en los sistemas de la entidad, así como que no consta acreditada una actuación maliciosa por parte de la empresa, ya que la propia configuración del programa “eMule” permite el intercambio de información sin que sea necesaria una actuación intencionada para dar a conocer datos y archivos a terceros, a través de Internet. Por ello se aprecia, en este caso, una disminución cualificada de la culpabilidad del imputado, aunque no una ausencia total de la misma, por lo que procede aplicar el citado articulo 45. 5 de la LOPD procediendo imponer a dicha empresa una sanción de 6000 euros.Si tenemos en cuenta la redacción del punto sexto de los Hechos Probados:
El 2 de marzo de 2009, se emite propuesta de resolución por la Instructora del procedimiento en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Oyonarte Inmobiliaria, S.L. con dos multas de 60.101,21 € cada una, por las infracciones del artículo 9 y 10 de la LOPD, tipificadas como graves en el artículo 44.3.h) y 44.3.g) de dicha norma.El desenlace de la Resolución queda bastante suavizado:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad OYONARTE INMOBILIARIA, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.De lo que no hay mucha noticia es de los aspectos documentales de la LOPD. Me quedo con la duda sobre la existencia del Documento de Seguridad, sobre si el empleado que se llevaba el trabajo a casa era norma o excepción y si se registraban estas salidas de soportes informáticos, sobre la formación e información recibida por los empleados de la compañía, etc.