Inicio / Protege tu empresa / Blog / Historias reales: A veces pasa, pero cumplir con la legislación evitó males mayores.

Historias reales: A veces pasa, pero cumplir con la legislación evitó males mayores.

Publicado el 07/10/2014, por Cristina Martínez Garay
imagen_acomp_historias_reales

El verano pasado Carmen decidió reservar sus vacaciones con bastante antelación a fin de que le resultaran más económicas. Hasta ese momento siempre lo había gestionado a través de una agencia de viajes de forma presencial. Pero este año, siguiendo el consejo de sus hijos, reservó las vacaciones a través de distintos portales de internet entre los cuales utilizó una agencia de alquiler de vehículos española denominada «Voiture».

Las vacaciones de Carmen fueron ideales habida cuenta la calidad de las prestaciones y servicios respecto al precio que había pagado. Sin embargo, una vez de regreso al trabajo, en septiembre como consecuencia de una búsqueda casual de su nombre y apellidos en el buscador de Google su sorpresa fue encontrarse con la ficha de reserva que había realizado online en la empresa de alquiler de vehículos «Voiture». Figuraban los datos introducidos en su día para la reserva: nombre, apellidos, dirección de correo electrónico.

Carmen sin previa comunicación a la empresa de alquiler de vehículos sobre dicha circunstancia, para intentar poner fin cuanto antes al acceso de sus datos por terceros, prefirió poner en conocimiento los hechos directamente a la Agencia Española de Protección de Datos, en adelante AEPD, que dio lugar a la apertura de un procedimiento sancionador.

Apertura de procedimiento sancionador para empresa de alquiler de vehículos «Voiture»

Los servicios de inspección de la AEPD practicaron las actividades de investigación oportunas. Confirmaron que tras la realización de la búsqueda en Google del nombre y apellidos de la denunciante aparecían los datos de la ficha de la reserva que habían dado lugar a la denuncia. En consecuencia, la AEPD contactó con la empresa denunciada para que efectuara las alegaciones en defensa de su derecho.

La empresa estaba afligida por lo sucedido. Sobre todo teniendo en cuenta que desde hace tiempo implantaron medidas de seguridad en cumplimiento de la normativa de protección de datos. Desde el momento en que tuvieron conocimiento de la situación, procedieron inmediatamente a la retirada de la ficha donde aparecían los datos de la reserva de la denunciante. Además aportaron pruebas oportunas a fin de acreditar que se había producido desafortunadamente un fallo aislado y fortuito en los sistemas por cuanto era la primera vez que sucedía una incidencia de estas características.

Infracción que se imputaba a la empresa afectada:

Los hechos descritos fueron calificados inicialmente por la AEPD como infracción grave en materia de seguridad. En concreto, la infracción que se imputaba está tipificada en el artículo 44.3 h de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en adelante LOPD.

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las condiciones de seguridad que por vía reglamentaria se determinen.

El régimen sancionador al que se enfrentaba la empresa afectada por infracción grave era una multa desde 40.001 a 300.000 euros, de conformidad con lo dispuesto en el artículo 45.1 de la LOPD.

¿Cómo terminó todo?

La AEPD dictó resolución por la que se imponía finalmente una sanción por importe de 6.000 euros rebajando la sanción de grave a leve. Esta «rebaja» de la sanción se debió principalmente gracias al artículo 45.5 de la LOPD que refleja un principio de proporcionalidad, sobre todo teniendo en cuenta las siguientes circunstancias por parte de la AEPD:

1º.- Ausencia de intencionalidad en la incidencia, dado que tuvo lugar como consecuencia de un fallo aislado y fortuito en los sistemas.

Se pudo comprobar que la empresa cumplía rigurosamente las medidas técnicas y organizativas en materia de protección de datos. Concretamente la de control de acceso y de identificación y autenticación establecidas en el artículos 91 y 93 respectivamente del Real Decreto 1720/2007 de 21 de junio por el que se aprueba el Reglamento de desarrollo de la LOPD, en adelante RLOPD, a fin de impedir el acceso no autorizado por parte de terceros a sus sistemas de información.

2º.-Rapidez mostrada por la empresa denunciada para regularizar la situación mediante la retirada inmediata de la ficha de la reserva en cuanto tuvo conocimiento de los hechos

3º.-Implementación de medidas de seguridad adicionales de las legalmente exigibles, en este caso de nivel medio, como la de identificación y autenticación establecida en el artículo 98 del RLOPD a fin de limitar la posibilidad reiterada de accesos no autorizados.

4º.- Ausencia de beneficios para la empresa denunciada por la comisión de la infracción.

¿Qué se puede hacer para evitar quiebras de seguridad en las reservas online?

En primer lugar, como usuaria online, con este post no pretendo desalentar la utilización de internet para la realización de reservas, transacciones y/o compras online por cuanto que en mi opinión son múltiples las ventajas respecto a los inconvenientes, siempre que se actúe con una diligencia mínima debida. No obstante, por otro lado, debemos ser conscientes que la utilización de las tecnologías puede implicar ciertos riesgos y/o contingencias que, de forma aislada y no siempre necesariamente malintencionadas, pueden darse habida cuenta la naturaleza de los medios técnicos empleados.

La mayoría de veces para conseguir una solución ágil y eficaz respecto a una quiebra en materia de seguridad basta con una mera comunicación a la persona y/o empresa responsable para reducir rápidamente los posibles daños ocasionados.

Por último, respecto a las empresas que ofrecen sus productos y/ o servicios por internet únicamente les recomendaría que, a fin de dotar de una mayor confianza y seguridad a sus consumidores y/ o destinatarios, aparte de establecer efectivas medidas de control periódicas exigidas en el RLOPD se adopten otras adicionales que ayuden a prevenir y sobre todo a alertar sobre esta clase de incidencias.

---

Cristina Martinez Garay - DeuxTic Abogados  | @cmargaray / http://www.deuxtic.com/