Publicidad

Opinión Seguridad

“El mecanismo español de protección de datos es una amenaza para el sector”

24 ene 2007 | 17:28 CET

Firma invitada


Juan Ignacio Peinado Gracia, Catedrático de Derecho mercantil de la Universidad de Jaén, y Miguel Ángel Mata González, abogado del bufete Cremades & Calvo-Sotelo, analizan las sanciones para las fugas de datos según las leyes españolas.

Publicidad

La compañía Finjan
Inc. ha informado recientemente que
Google ha expuesto, por un fallo de
seguridad en sus sistemas, información confidencial sobre algunos de sus
usuarios en Internet. Dichos datos de carácter personal (tales como direcciones
de mail, nombres de usuarios y contraseñas) suponen un atentado contra la
privacidad de los afectados.

Según la misma fuente, con fecha 3 de enero de 2007, en
Finjan Inc. descubrieron una lista de URLs que contenía información confidencial
y que se encontraba disponible y desprotegida en los servidores de Google, por
lo que desde la compañía se procedió a comunicar de forma inmediata este hecho a
los responsables del motor de búsqueda. Según confirman desde Finjan Inc., el
problema ha sido resuelto y Google ha notificado de este incidente a todos los
usuarios afectados.

Pese a que la situación se ha solventado, creemos que
merece la pena ver cuál habría sido la respuesta del ordenamiento español si la
violación de la privacidad aludida hubiera estado sometida a dichas leyes.

Hay que tomar en consideración que empresas como Google
otorgan la máxima importancia a la seguridad de la información que generan,
reciben y almacenan. En su política de privacidad, Google se compromete a
implementar los más altos estándares de seguridad para proteger la información
confidencial de cualquier acceso no autorizado. Por lo tanto, partiremos de la
premisa de una actuación diligente y responsable por parte de la citada
compañía.

Sin perjuicio de lo anterior, y tomando en
consideración los hechos mencionados con anterioridad como un supuesto que nos
sirva para analizar la conducta siempre que la normativa aplicable a este caso
concreto fuera la española, y con el fin de determinar la posible
responsabilidad de Google, se hace necesario analizar la normativa vigente en
materia de protección de datos en España.

La
Ley
Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal
(LOPD), tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e intimidad
personal y familiar.

La LOPD califica como dato de carácter personal
cualquier información concerniente a personas físicas identificadas e
identificables. La Agencia Española de
Protección de Datos (AEPD) ha concretado más aún este término, aclarando que
datos tales como la IP de un usuario, así como su correo electrónico, tendrían
la consideración de datos de carácter personal.

En virtud de ello, se hace necesario que los
responsables de los ficheros que contengan datos de carácter personal adopten
determinadas cautelas en cuanto al tratamiento de dicho tipo de información.

Con la finalidad de proteger información tan sensible,
la LOPD recoge de forma clara el deber de secreto profesional, tanto del
responsable y del encargado de tratamiento de datos de carácter personal, como
de todos aquellos que intervengan en el mismo. Junto a este deber de
confidencialidad se exige, asimismo, un deber de seguridad en el tratamiento de
dichos datos. En concreto, el artículo 9 de la LOPD
obliga al responsable del tratamiento a designar a un responsable que ofrezca
garantías suficientes para que se produzca un tratamiento de datos seguro.

Además, a través del Real Decreto 994/1999, de 11 de
junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los
ficheros automatizados que contengan datos de carácter personal, se regulan
detalladamente las técnicas y las medidas organizativas que deberán ser
adoptadas con el fin de que se garantice la seguridad de los datos de carácter
personal y se evite un acceso no autorizado, considerando el estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos.

La LOPD impide, por tanto, que puedan registrarse datos
de carácter personal en ficheros que no reúnan las condiciones de seguridad
necesarias, ni tampoco en centros de tratamiento, locales, equipos, sistemas y
programas que no aseguren la seguridad de los datos en ellos contenidos.

El artículo 37 de la LOPD, por su parte, otorga a la
AEPD la potestad sancionadora, de acuerdo con el régimen de infracciones y
sanciones establecidas en la LOPD. El artículo 44 f) de la LOPD, tipifica como
infracción grave el mantener los ficheros, locales, programas o equipos que
contengan datos de carácter personal sin las debidas condiciones de seguridad,
pudiendo ser sancionada con multa de entre sesenta mil y trescientos mil euros.

En nuestra opinión, y siempre bajo las premisas del
supuesto, esta sería la sanción a la que se vería expuesta cualquier compañía,
en el supuesto de que la AEPD considerase que no se han impuesto las medidas de
seguridad oportunas para mantener la seguridad en los datos.

En cualquier caso, la cuantía de las sanciones vendrá
determinada por la naturaleza de los derechos personales afectados, el grado de
intencionalidad, los posibles daños y perjuicios causados a las personas
interesadas y a terceras personas, así como cualquier otra circunstancia
relevante que permita determinar el grado de culpabilidad presente en la
concreta actuación infractora.

Quizás merece preguntarse por la proporcionalidad entre
el mal hecho, daño causado y la sanción prevista. El sistema punitivo tiene por
supuesto una función preventiva, de creación de estímulos mediante un sistema de
premios y castigos para fomentar en las empresas que manejan estos datos
sensibles un comportamiento extremadamente diligente.

Junto a estas respuestas legales, el mismo mercado
exige unos estándares de seguridad que empresas como Google cumplen y, por ello,
incluso los incorporan a sus políticas de privacidad. Éstas tienen la
consideración de declaraciones unilaterales que generan exigibilidad por
terceros. Los daños, si los hubiera, quedan satisfechos a través de acciones
indemnizatorias. Llegado a este punto, es la mera infracción, independ
ientemente del daño, la que genera la sanción.

Nuestra conclusión es que el mecanismo español de
protección de datos y las sanciones previstas presentan una gran desproporción
y, por ello un plus de protección que puede llegar a convertirse en una amenaza
para el desarrollo del propio sector.

*Juan Ignacio Peinado Gracia es, además de Catedrático
de Derecho mercantil de la Universidad de Jaén, socio del buefete de abogados
Cremades & Calvo-Sotelo.



2 respuestas a “El mecanismo español de protección de datos es una amenaza para el sector”

  1. SP dice:
    27 mayo, 2012 en 07:55

    No lo considero ninguna amenaza… y menos en la Tierra de la Improvisacion, conocida por España. Por lo demas, si la multa se rebajase, las empresas grandes podrian considerar el no cumplir con la LOPD y afrontar la(s) multa(s) porque quizas les resultase mas rentable lo obtenido en otros ambitos a causa de dicho incumplimiento. Se podria considerar el asignar la multa en funcion de la cantidad de afectados, el tamaño economico del incumplidor, y la reincidencia, pero no se si es conveniente especificar esto de forma explicita, o limitarse a indicar, como de hecho la ley hace, un “arco” de multa entre los 60000 y los 300000. Lo que no debemos olvidar es un principio simple: cada uno es dueño de sus datos, y a partir de ahi puede hacer lo que quiera, esto es, permitir su uso y/o denegarlo, en el orden que la apetezca y las veces que quiera. Y respecto a la legislacion de otros paises, puede ser mejor que la española, O QUIZAS NO. Salud.

    Responder
  2. deincognito dice:
    27 mayo, 2012 en 07:55

    No estoy de acuerdo.Precisamente debido a la heterogeneidad de empresas potencialmente incumplidoras se establecen los criterios de gradación de las sanciones por parte de la LOPD. Aún y todo parece que este conjunto de criterios es mejorable, de hecho el Borrador de nuevo RMS lo corregirá, aunque si bien la solución última la tendrá la racionalidad de la AGPD en el ejercicio de su potestad sancionadora.
    Pienso que a los autores se les ha olvidado mencionar también el art. 44.5 LOPD que dice: “Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.”

    Totalmente de acuerdo con el comentario anterior.
    Pensemos en el caso del ejemplo: Google, ¿de verdad pensamos que, si a pesar de su excelencia en conformidad legal, en el caso de una fuga de datos por parte de uno de los mayores tenedores de datos personales del mundo, las sanciones que se le podrían llegar a imponer suponen un descalabro para la salud financiera de esta compañía?

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Actualidad

Partner zone

Publicidad

Outils