edición: 2494 , Viernes, 22 junio 2018
26/11/2009
OBSERVATORIO JURIDICO

La obligación de resultado en materia de seguridad informática

DATADIAR

Uno de los aspectos de la seguridad de la información en los que se está realizando una mayor labor de sensibilización es el de las buenas prácticas y comportamientos seguros por parte de los usuarios. Se realizan campañas de sensibilización para mantener unos hábitos prudentes y responsables en la navegación por Internet y, al mismo tiempo, se recomienda el establecimiento de una serie de medidas que respalden las técnicas de seguridad con las que contamos en nuestros ordenadores. Desde el campo de la auditoria informática y de la seguridad en esta materia, se suele partir de la idea de que no es posible la certeza o la seguridad absoluta, porque el elemento de riesgo esta siempre presente, independiente de las medidas que se tomen, por lo que se suele hablar de niveles de seguridad.

Pues bien, de cara a la actividad empresarial, desde un punto de vista jurídico, hay que tener en cuenta que tanto la AEPD, como la jurisprudencia de la Audiencia Nacional, han venido estableciendo que para los operadores (responsables del tratamiento de datos de carácter personal) lo que se impone en esta materia es una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. Es decir, las medidas que lo eviten, efectivamente.

En este sentido comentaremos la última sentencia en aplicar esta doctrina, ante un fallo de seguridad de un sitio web, que se puso de manifiesto por la incidencia relativa al acceso por parte de terceros a los datos de facturación de los clientes.

Así fue que la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia de ocho de octubre de dos mil nueve, (accesible en la recopilación jurisprudencial de la base de datos especializada en derecho de las TIC, del portal datadiar.com), resolviendo el recurso contencioso administrativo interpuesto por una empresa (titular del website, y responsable del fichero) contra la resolución de la Agencia Española de Protección de Datos dictada en el procedimiento sancionador correspondiente, que implicaba inicialmente una sanción de 60.101,21 €, como multa a dicha empresa, y que posteriormente, como veremos, será reducida a 15.000€ por atenuación.    

El caso es que la empresa disponía de un fichero automatizado inscrito en el Registro General de Protección de Datos bajo la descripción "Datos básicos de clientes para gestiones comerciales, contables y administrativas". Dicho fichero, cuya "Finalidad y usos previstos" es la "Gestión de clientes y facturación", contenía datos personales de los clientes de la entidad relativos a DNI, nombre, apellidos, dirección (postal, electrónica), teléfono, datos bancarios, actividades y negocios. Las medidas de seguridad adoptadas en el fichero eran las de nivel básico.       

El servicio de emisión de facturas de la empresa, se prestaba por una tercera empresa especializada, con la que se formalizó un contrato de asistencia técnica para la emisión de las facturas.  Como parte de dicho servicio, dicha empresa mantenía un repositorio de información en el que se almacenaban las copias en soporte digital (formato "pdf") a disposición de la empresa contratante, habiéndose realizado una aplicación para uso interno que permitía la reproducción de las facturas de un usuario, permtiendo la realización de búsquedas mediante el campo correspondiente al documento nacional de identidad.       

Por otra parte el diseño, programación y alojamiento, del sitio Web de la empresa había sido realizado por otra tercera entidad especializada en ese campo, con la que se formalizó el correspondiente contrato, en virtud del cual dicha entidad se encargaba de la actualización y mantenimiento del sitio Web.       

El sitio web de la empresa incluía un conjunto de servicios personalizados que se prestaban a aquellos clientes que se registraban a través de la propia página Web. Como resultado del proceso de inscripción, el sistema generaba un identificador de usuario y un código de acceso de uso personal, que habilitaba al cliente para acceder a los mencionados servicios, entre los que se incluía el servicio denominado "consulta de facturación", que permite al cliente acceder a un histórico de sus facturas.

Así, los usuarios podían, pulsando sobre un enlace, acceder a sus facturas en formato "Pdf". Se creó un guión ejecutable ("script"), ubicado en uno de sus servidores, que devolvía como resultado de su ejecución un documento en formato "Pdf" con la factura solicitada. La correcta ejecución de dicho guión requería la introducción de un parámetro con el número de factura, parámetro que se proporcionaba al programa sin cifrar, lo que hacía posible la obtención de otras facturas alterando el contenido del parámetro proporcionado al programa.       

Pues bien, en un momento dado y utilizando la facilidad que se había puesto en marcha en el sitio Web para el servicio de "consulta de facturación", se produjeron accesos indebidos por parte de terceros a diversas facturas de clientes de la entidad.

Analizado el contenido de las pistas de auditoria ("logs") correspondientes al servidor donde se alojaban las facturas en formato "Pdf", se comprobó que, en los registros correspondientes a determinados días constaban esos accesos.

Según el análisis de las pistas de auditoria del servidor, el guión ejecutable "… /generalPdf- externa.asp" fue requerido un total de 86 veces un día determinado, junto con peticiones aisladas posteriormente, todas realizadas desde la misma “dirección IP”.       

Cuando la empresa tuvo conocimiento de la incidencia producida, relativa al acceso por parte de terceros a los datos de facturación de los clientes, y procedió, como medida preventiva, a desactivar la funcionalidad de consulta de facturas.       

La empresa contratada como especialista declaró que pudo existir un problema en el paso del parámetro número de referencia de factura de forma visible para el usuario, que, unido a la posibilidad de la ejecución directa del guión ejecutable, pudo permitir a usuarios del sistema la consulta de facturas de otros clientes.

Pues bien, en la resolución sancionadora de la AEPD, se indica que la empresa, con el sistema que estableció, había permitido el acceso de terceros a datos de consumo y facturación de sus clientes sin que el titular de los datos hubiese prestado su consentimiento para ello, constituyendo una base fáctica para fundamentar la imputación de las infracciones de los artículos 9 y 10 de la LOPD.                                 

No obstante, se añade en la resolución impugnada, que nos encontramos ante un supuesto de concurso medial, en el que un mismo hecho deriva en dos infracciones porque la información contenida en un fichero de clientes sale del ámbito de la entidad responsable de su confidencialidad al incumplirse las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto profesional. Aplicando el artículo 4.4 del Real Decreto 1398/1993     procede subsumir ambas infracciones en una, procediendo imponer únicamente la sanción correspondiente a la infracción más grave que, en este caso, corresponde a la prevista para la infracción del artículo 9 de la LOPD, relativa a las medidas de seguridad.
                                 
Pues bien, la empresa sancionada en vía administrativa, pretendió defenderse ante la Audiencia Nacional invocando los siguientes motivos:       

a) La empresa pretendió precisamente garantizar la seguridad de la información contenida en su página Web delegando dicha actividad a un experto en la materia.             

b) La empresa ni ha posibilitado ni ha permitido el acceso a los datos personales.             

c) El fichero no estaba carente de medidas de seguridad, y no es culpable porque ha actuado con la máxima diligencia exigible para dar un óptimo cumplimiento a las obligaciones derivadas de la LOPD.       

Pues bien, finalmente la Audiencia Nacional, en la sentencia comentada en esta ocasión, parte del                   artículo 9 de la LOPD que establece la necesidad de la adopción de medidas técnicas y organizativas necesarios para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, obligación que se impone al responsable del fichero y, en su caso, al encargado del tratamiento.             

Reflexiona la Audiencia Nacional en el sentido de que la seguridad de los datos de carácter personal es un tema fundamental en materia de protección de datos, máxime cuando las nuevas comunicaciones electrónicas e Internet han incrementado el riesgo de uso ilegítimo en el tratamiento de datos, resultando necesario establecer garantías adecuadas y efectivas para salvaguardar o tutelar el derecho a la protección de datos.

Se menciona la doctrina del Tribunal Constitucional según la cual “un sistema normativo que, autorizando la recogida de datos, no incluyese garantías adecuadas frente a su uso potencialmente invasor en la vida privada del ciudadano, a través de su tratamiento técnico, vulneraría el derecho a la intimidad de la misma manera en que lo harían las intromisiones directas en el conteniendo nuclear de ésta”.             

En el presente caso, reconoce la Audiencia que es cierto, como afirmaba la empresa sancionada, que se contrató a empresas especializadas con la pretensión de garantizar la seguridad de las informaciones contenidas en su página Web y la creación de la aplicación de consultas de facturas. Pero también es cierto que el responsable del fichero, además del encargado del tratamiento su caso, deberá "... adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología..." (artículo 9 de la LOPD), medidas que tienen como finalidad garantizar la seguridad de los datos, preservando así el secreto o la confidencialidad de la información.

No basta, por tanto, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar la finalidad que recoge el citado precepto, imponiéndose, en consecuencia, una obligación de resultado consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan o terceros accedan a los mismos.             

Concluye la Audiencia Nacional, que la empresa sancionada como responsable del fichero, por su especial posición de garante del derecho fundamental de los particulares a la protección de los datos que de los mismos obran en sus ficheros, deberá garantizar que las medidas adoptadas por las empresas contratadas son suficientes para garantizar la seguridad de los datos, debiendo comprobar la efectividad de las mismas y, al no hacerlo así, no cumplió con la diligencia que le era exigible.    Por lo tanto, se consagra la seguridad como una obligación de resultado, de la que cualquier empresa en semejantes circunstancias se hace responsable.

Lo que si tiene en cuenta la Audiencia Nacional en este caso es el hecho de que con el fin de garantizar la seguridad de los datos la empresa sancionada contrató a dos empresas con conocimientos técnicos para ello y que se fijaron determinadas medidas de seguridad que resultaron insuficientes. Y aunque la Audiencia considera que esa conducta no es suficiente para eximirla de responsabilidad, lo que si contempla es que exista por ese motivo una disminución cualificada de la culpabilidad de la empresa que ve aminorada la sanción impuesta, de modo que finalmente la sanción de multa se fija en 15.000 €.

Equipo Jurídico de Datadiar.com

LEGISLACIÓN

REGLAMENTO (CE) Nº 560/2009 DE LA COMISIÓN de 26 de junio de 2009 que modifica el Reglamento (CE) nº 874/2004 por el que se establecen normas de política de interés general relativas a la aplicación y a las funciones del dominio de primer nivel «.eu», así como los principios en materia de registro (DOUE n.º 166, 27-06-2009)
De conformidad con el artículo 9, párrafo segundo, del Reglamento (CE) nº 874/2004, la Comisión solicitó al Registro que introdujera determinados nombres de dominio directamente en el dominio «.eu» para su uso por las instituciones y organismos de la Comunidad. Al resultar ahora técnicamente posible registrar nombres en las len¬ guas oficiales de la Comunidad en el dominio «.eu» utilizando también caracteres alfabéticos que no estaban disponibles para el registro al iniciarse el período de registro escalonado previsto en el capítulo IV del Reglamento (CE) nº 874/2004, debe concederse a la Comisión la posibilidad de solicitar al Registro que introduzca nombres de dominio que contengan estos caracteres además de los nombres cuya introducción ya se solicitó.

JURISPRUDENCIA

Penal

Delito de lesiones. Eximente de embriaguez. Se desestima: levedad de los efectos de la persona responsable por razón de las cervezas ingeridas que sólo permite apreciar la atenuante analógica. Sustitución de la pena. TRIBUNAL SUPREMO. Sentencia de fecha: 23 de junio de 2009
Expulsión del territorio nacional. Artículo 89 CP. Pretensión que aparece recogida en el escrito de conclusiones provisionales, elevada a definitiva por el Ministerio Fiscal. Se satisfizo la exigencia de contradicción que requiere la aplicación de la sustitución de pena mediante la medida de expulsión, entendido como la posibilidad de debate. La sentencia abundó en las razones que justifican la sustitución de la pena privativa de libertad por la medida de expulsión.

Mercantil

Valoración jurídica del tipo infractor sin que la Administración haya podido intervenir en defensa de su posición contraria a la nueva subsunción de los hechos en la norma.  TRIBUNAL SUPREMO. Sentencia de fecha: 16 de junio de 2009
Nos corresponde analizar en el presente recurso de casación si la sentencia de 29 de octubre de 2006 de la Sala de lo Contencioso Administrativo de la Audiencia Nacional (Sección Sexta) ha vulnerado, como sostiene la Abogacía del Estado, las normas y garantías del proceso con resultado de indefensión, en concreto, con infracción de los artículos 33 y 65 de la Ley reguladora de la Jurisdicción Contencioso Administrativa. Se trataría de una resolución incongruente por cuanto estima en parte el recurso contencioso frente a la sanción impuesta al aplicar de forma retroactiva de Ley de Auditorias de Cuentas, para rebajar sustancialmente el importe de la sanción final. Todo ello sin que la Abogacía del Estado haya tenido oportunidad de intervenir en el debate al no haber sido suscitada la cuestión de la aplicación retroactiva de la norma más favorable por ninguna de las partes procesales, ni en la demanda ni en las conclusiones y sin que la Sala haya acudido al mecanismo contemplado en el artículo 33.2 ni 65 de la Ley de la Jurisdicción que arbitran el medio para que el órgano jurisdiccional suscite a las partes la oportunidad de exponer su parecer sobre la existencia de otros posibles motivos, distintos a los hasta el momento alegados por las partes, que puedan fundar el recurso o la oposición.

Acción cambiaria. Requisito del timbre. Asimilación del juicio cambiario LEC 2.000 al sumario ejecutivo de la LEC 1.881  TRIBUNAL SUPREMO. Sentencia de fecha: 10 de julio de 2009
Acción cambiaria. Requisito del timbre. Asimilación del juicio cambiario LEC 2.000 al sumario ejecutivo de la LEC 1.881. Mantenimiento de la doctrina jurisprudencial que exigía para la acción ejecutiva cambiaria el cumplimiento del requisito formal del timbre previsto en la legislación fiscal.

Civil

División de la cosa común: no permite imponer a los disidentes una división consistente en la creación de nuevas comunidades sobre fincas de nueva creación.  TRIBUNAL SUPREMO. Sentencia de fecha: 1 de abril de 2009
División de cosa común. No permite imponer a los comuneros disidentes una división consistente en la creación de nuevas comunidades sobre fincas de nueva creación.

Carácter indivisible de los Bienes de Interés Cultural dada su integración en un conjunto administrativamente calificado y protegido como tal. TRIBUNAL SUPREMO. Sentencia de fecha: 30 de abril de 2009
División de cosa común. Alcance de la acción concedida a los comuneros por el código civil. Bien declarado de interés cultural. Indivisibilidad jurídica derivada de la aplicación de las normas que regulan la protección del patrimonio histórico.

Laboral

La pretensión ejercitada no alcanza la cuantía fijada por la LPL para poder acceder al recurso de suplicación. Tampoco concurre la afectación general. TRIBUNAL SUPREMO. Sentencia de Fecha: 22 de julio de 2009
No procede el recurso de suplicación contra la sentencia dictada en proceso en el que se reclaman cuatro días de vacaciones.

Competencia del orden social. Los periodos cotizados por los actores a la Autoridad Portuaria han de ser incluidos en el Régimen Especial del Mar. Falta de contradicción entre sentencias. TRIBUNAL SUPREMO. Sentencia de fecha: 23 de julio de 2009.
Recurrida en suplicación por la demandada Instituto Social de la Marina, la Sala de lo Social del Tribunal Superior de Justicia de Galicia dictó sentencia el 28 de marzo de 2008, recurso 473/05, desestimando el recurso formulado. La sentencia entendió que la cuestión debatida es competencia del orden jurisdiccional social porque la competencia queda fijada en la fecha del hecho causante de la reclamación y, en su caso, la fecha de presentación de la demanda, y en el supuesto examinado la misma es posterior a la entrada en vigor de la Ley 52/2003, que dispone que los actos en materia de afiliación, altas y bajas y variación de datos de los trabajadores no serán objeto de conocimiento por la jurisdicción laboral. Continúa razonando la sentencia que los demandantes deben ser encuadrados en el Régimen Especial de Trabajadores del Mar, en primer lugar, porque el Real Decreto Ley 2/1986, de 23 de mayo, establece un régimen transitorio en el ámbito de la relación laboral sin incidir, al menos directamente, en el ámbito de la Seguridad Social y, en segundo lugar, porque, sin distingo alguno acerca de quien sea el empleador -sociedad estatal o empresa estibadora- y de cual sea la naturaleza jurídica de la relación laboral -si especial o común-, el artículo 2 del Decreto 2864/1974, de 30 de agosto, incluye el trabajo de los estibadores portuarios en el campo normativo de aplicación del Régimen Especial del Mar, y ha quedado acreditado que los actores son estibadores portuarios.
  
Administrativo

Oficina de farmacia. Castilla-La Mancha. Impugnación licencia provisional de apertura. Acto trámite.  TRIBUNAL SUPREMO. Sentencia de fecha: 05 de junio de 2009
La Sentencia no toma en cuenta las normas posteriores contenidas en la disposición transitoria sexta del decreto 7/2005 y en la décima de la ley de las cortes de castilla-la mancha 5/2005 y tampoco tiene en cuenta la firmeza de la resolución de adjudicación, y en consecuencia dejó de analizar cuestiones de todo punto trascendentes para la correcta decisión del proceso.

Profesión de odontólogos. El ejercicio profesional «deberá demostrarse mediante boletines de cotización a la Seguridad Social.  TRIBUNAL SUPREMO. Sentencia de fecha: 30 de junio de 2009
La Sala de instancia ha llevado a cabo una interpretación contraria a Derecho de la disposición transitoria primera del Real Decreto 1594/1994, de 15 de julio , que desarrolla la Ley 10/1986, de 17 de marzo, reguladora de la profesión de Odontólogo y las de otros profesionales relacionadas con la salud dental, así como de la Orden de 14 de mayo de 1997, que desarrolla la citada disposición transitoria primera. La disposición transitoria primera del Real Decreto 1594/1994, de 15 de julio, exige, con toda claridad, en el caso de los protésicos dentales, que el ejercicio profesional "deberá demostrarse mediante boletines de cotización a la Seguridad Social", sin que dicha exigencia pueda relativizarse por el contenido del apartado 6.b) de la Orden de 14 de mayo de 1997 que desarrolla la disposición transitoria primera del Real Decreto citado y que, por lo tanto, no puede contrariarla, y que igualmente exige aportar los boletines de cotización a la Seguridad Social o certificación de dichas cotizaciones expedida por la correspondiente Entidad Gestora, si bien permite igualmente aportar, adicionalmente, cualquier otra documentación que acredite el tiempo de ejercicio profesional y la fecha de su inicio. Exigencia que, por otro lado, no puede reputarse como desproporcionada dada la obligatoriedad de afiliación y cotización a la Seguridad Social ex artículos 7, 12 y concordantes del Real Decreto Legislativo 1/1994, de 20 junio.

Noticias Relacionadas

Director
Alfonso Pajuelo ( director@icnr.es )

Redacción (redaccion@icnr.es)

  • Juan José González
  • Javier Ardalán
  • Carlos Schwartz
  • Rafael Vidal

Intelligence and Capital News Report ®
es una publicación de Capital News Ediciones S.L.
Editor: Alfonso Pajuelo
C/ Joaquín María López, 30. 28015 Madrid
Teléfono: 92 118 33 20
© 2018 Todos los derechos reservados.
Prohibida la reproducción sin permiso expreso de la empresa editora.

Optimizado para Chrome, Firefox e IE9+

loading
Cargando...