Multan con 6.000 euros a un gimnasio por difundir en la red datos bancarios de clientes
La Agencia de Protección rebaja la sanción inicial, de 120.000 euros, al no constar intencionalidad en la divulgación en internet de esas informaciones personales
No disponer de los perceptivos sistemas de seguridad informáticos para la privacidad de información puede salir muy caro. La Agencia Española de Protección de Datos ha sancionado con 6.000 euros a una cadena de gimnasios con establecimientos en Vigo y Ourense por difundir datos personales de sus clientes en internet, entre los que se incluyen números de cuentas bancarias.
Inicialmente, la agencia había impuesto dos multas de 60.101,21 millones de euros a la empresa, pero más tarde comprobó que «no constaba intencionalidad ni reincidencia en la conducta, consistente en vulnerar las medidas de seguridad en relación con los datos de carácter personal de sus clientes, apreciándose una cualificada disminución de la culpabilidad», por lo que procedió a establecer una sanción leve. En este sentido, la agencia también tuvo en cuenta a la hora de rebajar la multa económica «la rapidez para corregir la infracción cometida una vez tuvo conocimiento de la misma (72 horas) y las medidas adoptadas para evitar que se vuelva a producir».
Protección de Datos, a través de una inspección realizada en los establecimientos de dicha empresa, constató que comparten la aplicación informática para la gestión de la entidad, aunque en ningún momento se ha tenido constancia en ninguno de los ordenadores ubicados en la entidad la existencia del programa «eMule», que permite compartir archivos y extraer ficheros a otros usuarios de Internet conectados, tal y como reconoce el propio propietario de la cadena de gimnasios, que elude toda responsabilidad y considera «excesiva» la sanción de 6.000 euros impuesta. El abogado del dueño de las instalaciones deportivas ya ha presentado un recurso de reposición contra la resolución de la Agencia Española de Protección de Datos, que dice «no es definitiva».
La culpa, del informático
El empresario reconoce que el sistema informático de los gimnasios «no tenía el sistema de seguridad que exige la Ley de Protección de Datos, pero inmediatamente procedimos a la contratación de una empresa para instalarlo». «Hemos demostrado que nosotros no tenemos nada que ver», añade. La única posibilidad que contempla el dueño del gimnasio es «que por un error se difundiesen los datos cuando llevamos el ordenador a arreglar».
El empresario defiende que «debería aplicarse en todo caso una sanción leve, no esta totalmente desproporcionada, ya que se debería tener en cuenta que no hubo ninguna denuncia por parte de los clientes. El problema se subsanó en tres días».
Por su parte, la Agencia de Protección de Datos insiste en que «los ficheros que contengan datos de carácter personal así como el acceso a los mismos están sujetos a la Ley Orgánica de Protección de Datos», al tiempo que advierte que dicha ley «impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados», como fue el caso de esta empresa, con un establecimiento en Vigo y otro en Ourense. Aunque la agencia resuelve que ambos gimnasios comparten información informática, el propietario asegura que la difusión de datos personales «sólo afectó a clientes de Ourense».
Cuando la agencia notificó a la firma deportiva la sanción inicial, ésta presentó un escrito de alegaciones en el que argumentaba que «la empresa cuenta con un firewall por hardware que controla los accesos a internet e impide el acceso». A día de hoy, el propietario, de Ourense, no da crédito a la multa de 6.000 euros. «Esos datos no pertenecen a nuestros equipos», finalizó.
Fuente: www.agpd.es