Ni tanto, ni tan calvo.
Los caminos del Señor, y los criterios de la AEPD son inescrutables.
Hoy veremos cómo 2 supuestos muy similares, arrojan resultados radicalmente distintos, gracias a los criterios interpretativos de la Agencia Española de Protección de Datos.
Supuesto #1:
Por error, una empresa de telefonía móvil envía factura de otro cliente por email. Los datos revelados por error, incluyen: Nombre y apellido; NIF; Dirección; código postal; localidad; entidad bancaria; número de cuenta bancaria (diez dígitos); detalle de llamadas por número de teléfono.
Supuesto #2:
Por error, una empresa de reparación de terminales móviles da un pendrive con copia de seguridad de 7 teléfonos distintos al suyo a una clienta particular. Los datos revelados por error, incluyen: Nombre y apellidos del titular del teléfono, fotografías personales, agenda personal con teléfonos, mails y direcciones de sus contactos, lista de llamadas emitidas y recibidas, y sms emitidos y recibidos.
¿Qué diferencia ambos supuestos?
En el primer supuesto, la empresa de telefonía móvil es responsable de un fichero, conforme a la Ley Orgánica de Protección de Datos y responde de los incumplimientos en que haya incurrido.
Sin embargo, en el segundo supuesto, la clienta no es “responsable” de ningún fichero, pues los “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas” están excluidos del ámbito de aplicación de la LOPD (2.2.a LOPD).
Es lógico y comprensible. No tendría sentido que un latin lover tuviese que informar a sus conquistas de que sus datos serán incorporados a un fichero de su responsabilidad con la finalidad de… Bueno, quizá en este caso concreto… sí podría ser defendible… pero si cada uno de nosotros tuviese que cumplir con la LOPD por los datos de nuestros familiares, amigos y conocidos, seguramente nos encerraríamos en casa.
¿Y qué sucede con la tienda de reparación de terminales móviles? ¿No es responsable por su negligencia?
Pues no. Para la AEPD, al no aplicar la LOPD al dueño del fichero por ser un fichero de agenda personal… el tratamiento que hace la tienda por instrucción del dueño, tampoco está sometido al régimen sancionador de la LOPD.
Si la tienda hubiese utilizado los datos obtenidos para sus propios fines, sí hubiese sido responsable de tratar datos sin consentimiento… pero como lo que hizo fue incumplir con la obligación de deber de secreto con respecto a las 7 personas que vieron vulnerada su intimidad por esta tienda, la AEPD entiende que no procede imponer ninguna sanción.
Sin embargo, a la empresa de telefonía móvil del primer supuesto, le pusieron una multa de 6000 euros contantes y sonantes.
¿Y esto qué supone?
Pues… por poner algunos ejemplos… supone lo siguiente:
- Un servicio de correo electrónico español (p.e. @telefonica.net) no tiene que aplicar medidas de seguridad de ningún tipo a una hipotética base de datos de direcciones de destinatarios de emails de sus clientes.
- Igualmente, si @telefónica.net tuviese un percance de seguridad que afectase a estos datos, tampoco tendría ninguna responsabilidad.
- Un servicio de agenda online dirigido a particulares no tiene por qué cumplir con ninguna de las medidas de seguridad del Reglamento.
…Y un sinfín de ejemplos más.
¿Es correcto el criterio de la AEPD?
A todas luces… no lo es.
Los ficheros recibidos por la persona denunciante del segundo supuesto también incluyen datos personales propios de los clientes de la tienda, que sí son responsabilidad de la misma, y deberían estar protegidos por la LOPD.
Sin embargo, el criterio repetido por la AEPD, no cede ni ante un recurso debidamente motivado.
Lo dicho, los criterios de la AEPD son inescrutables y al parecer, no somos dignos de ponerlos en duda.
Audea Seguridad de la Información
José Carlos Moratilla
Consultor legal
www.audea.com