En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos. 

Veamos ejemplos de los errores “tecnológicos” más habituales que han causado en algunos casos sanciones de muy elevada cuantía, para que de esta manera aprendamos lo que no hay que hacer y estemos más vigilantes ante algunas prácticas aún muy extendidas en las empresas.

• Spam (mail, fax, SMS): sin duda el número 1 por la cantidad de sanciones. Se denomina “spam” a todo tipo de comunicación de carácter comercial no solicitada, realizada por vía electrónica, y esta vía incluye no sólo el correo electrónico, sino también el fax o un SMS. Hay que tener en cuenta que en este ámbito además de la Ley Orgánica de Protección de Datos (LOPD) aparece también la Ley de Servicios de la Sociedad de la Información (LSSI) que no distingue entre personas físicas y jurídicas, de manera que los datos electrónicos de las empresas están tan protegidos como los de los particulares y no pueden ser utilizados sin consentimiento de sus destinatarios. La sanción habitual en caso de denuncia oscila la primera vez entre 1.000 euros y 3.000 euros, aunque en caso de reincidencia puede llegar a los 60.000 euros.
• Datos personales que aparecen en el eMule: por desgracia un asunto que se está convirtiendo en una plaga. Son ya decenas los casos de empresas e instituciones sancionadas por aparecer datos de clientes, trabajadores o alumnos en redes P2P, especialmente el eMule. En la mayor parte de los casos se trata del error involuntario de un empleado que aprovecha los ratos muertos para descargarse algo de música y configura el programa de forma que en vez de dar acceso a una carpeta determinada lo hace a todo el disco duro. Hay que tener en cuenta la especial gravedad del asunto, puesto que ya no se solamente trata de la vulneración de un derecho fundamental (intimidad), sino que además se produce con los datos de muchas personas y queda en Internet al alcance de cualquiera, incluyendo las secciones de delitos telemáticos de las fuerzas de orden público, que suelen ser quienes inician con su denuncia este tipo de procedimientos. Uno de los ejemplos más graves lo podemos ver en el caso de la pequeña clínica en la que los datos de miles de mujeres que se habían sometido legalmente a una interrupción voluntaria del embarazo aparecieron en el emule causando para la doctora (autónoma) dueña de la clínica una sanción de 150.000 euros.

En los siguientes posts de la serie veremos otros ejemplos causados por el envío de correos electrónicos con direcciones al descubierto, el uso de videovigilancia, los formularios de páginas web, los backup remotos, etc.