Datos personales accesibles con el programa Emule: 6000 euros de sanción a FSAP-CCOO

burritoEl 23 de febrero la Agencia Española de Protección de Datos sancionó a la Federación de Servicios y Administraciones Públicas de Comisiones Obreras con 6.000 euros de multa por infringir el artículo 9 de la LOPD, es decir, por no haber implementado las medidas de seguridad oportunas sobre ficheros que contienen datos de carácter personal.

En uno de los listados en formato Access descargados a través de Emule figuraban la situación profesional de los afectados, su condición de funcionarios, el cuerpo de pertenencia, puesto desempeñado, centro de trabajo y formación, entre otros. Debido a esto la Agencia afirma que se permite la obtención de una evaluación de la personalidad de los titulares de los datos, y que las medidas de seguridad a aplicar al fichero hubieran debido ser las de nivel medio.

La Agencia niega una cualificada disminución de la culpabilidad por la implantación de las medidas de seguridad por el responsable de los ficheros una vez se ha detectado la infracción, y sin embargo sí accede a aplicarla basándose en lo siguiente:

Fundamento de Derecho VI, párrafo cuarto

… hay que considerar que la FSAP-CCOO, con objeto de remediar en el futuro la conducta imputada, no se ha limitado a la estricta elaboración del citado Documento de Seguridad, sino que ha desarrollado una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal impartiendo instrucciones a las diversas unidades y federaciones que la integran, incluso a nivel de secciones sindicales y responsables locales, o mediante acciones formativas, y ha modificado el sistema establecido para recabar los datos de los trabajadores que pretendan participar en los cursos de formación contínua que convoca y su tratamiento posterior.

Es decir, divulgar instrucciones y formar al personal, también incluido entre las obligaciones del responsable del fichero (artículo 9.2 del vigente Reglamento de Medidas de Seguridad, in fine) sí que son apreciadas como causa de disminución de la culpabilidad. Manda huevos… luego dicen que las resoluciones son igual para todos.

Predigo que no será tampoco la última sanción que se impone por una fuga de ficheros a través de programas P2P. Basta con teclear en Emule palabras como “listado”, “fichero datos”, o expresiones similares para obtener listados que contienen datos personales. Otra cosa es que se denuncie.

Madrid: datos relativos a salud y… elecciones

SaludEl pasado 29 de marzo El País contaba el robo de un PC que contenía los datos confidenciales de unos 15.000 enfermos del ambulatorio de Orcasitas. Sucedió a finales de enero, y desaparecieron del despacho del servicio de inspección médica sólo la CPU del ordenador, sin que interesaran otras cosas a los ladrones. En concreto alojaba una base de datos que contenía pacientes con los fármacos que se les recentan. La Consejería de Sanidad confirmó el robo, y reconoció que no había medidas de seguridad.

La Comisión de Libertades e Informática ha aprovechado para volver a denunciar el según ellos lamentable estado de la sanidad madrileña. Esta asociación no deja pasar ni una al gobierno de Aguirre. La última fue la tan aireada noticia de que la Consejería de Sanidad madrileña había adjudicado a la empresa Stacks un contrato para que se hiciera cargo de la centralización de los expedientes clínicos en un solo sistema, y así, tenía acceso a los datos médicos de todos los ciudadanos madrileños.

La multinacional francesa Cedegim, dedicada entre otras cosas a prestar servicios a empresas farmacéuticas para mejorar sus acciones comerciales, compró Stacks. La Comisión de Libertades e Informática hizo una fácil regla de tres: si Stacks accede a los datos médicos, Cedegim también lo hace, y puede ponerlos a disposición de la industria farmacéutica. ¿Por qué?

Tendrían que probar lo que afirman, no sirve con simplemente que lo publique El País. En vez de centrarse en que, siempre según ellos, el concurso para la adjudicación del sistema informático estuvo amañado, habiendo sido confeccionado entre la Comunidad y Stacks, prefirieron meter el miedo al ciudadano en el cuerpo con el tema de los datos médicos. ¿Por qué no ir contra el gobierno de Aguirre por la vía penal, contra el Consejero de Sanidad?

La Agencia de Protección de Datos de la Comunidad de Madrid inició de oficio una inspección para constatar si Stacks y la Consejería tenían firmado el correspondiente contrato de acceso a datos por cuenta de terceros. No se constató vulneración alguna.

Un dato relevante para finalizar: la señora Dña. Carmen Sánchez Carazo, vicepresidenta de la Comisión de Libertades e Informática, es también concejala de salud y discapacidad en el Ayuntamiento de Madrid por el Grupo Socialista.

¿Seguro que la CLI es una plataforma independiente, o se dedica a favorecer los intereses de sus miembros cuando se acercan las elecciones? ¡Dios, qué asco!