martes, 29 de mayo de 2012

Info-tráfico de datos personales, un negocio en auge

Hace una semana tuve que preparar un curso y como suelo hacer siempre, me puse a buscar incidentes de los últimos meses para poner ejemplos de la cotidianidad pero me llamó bastante la atención las noticias sobre la Operación "Pitiusa". El 11 de mayo se publicaban detalles de la detención de 88 personas relacionadas con el infotrafico de datos de carácter personal. La noticia de la que se han hecho eco medios como "20 Minutos" o "El País" viende a denunciar cómo ciertas personas con privilegios de acceso a grandes bases de datos de sus empresas han ido vendiendo información a terceros generando un importante negocio con ello. Ya pude comentar en el año 2005 un caso similar con los datos del DNI-e. Este "nuevo negocio" es contra lo que trata de combatir la tan odiada Ley 15/1999 (LOPD) que pretende poner ciertas restricciones a los usos que se pueden o no hacer de los datos de las personas. Obviamente los casos que han sido objeto de investigación están relacionados con toda una trama de obtención ilegal de información y entre otros, los delitos de los que se les acusan son de intrusismo profesional, descubrimiento y revelación de secretos. Este tipo de prácticas son también habituales entre el mundo de la prensa rosa donde cierta información privilegiada es crucial para poder saber dónde estará el famoso de turno o con quién se relaciona. Asi se pone de manifiesto en un excelente documental titulado que se emitió en Documentos TV el pasado domingo. A continuación os adjunto el resumen tal como se cuenta en la Web de RTVE.
El reportaje muestra las barreras legales que saltan los paparazzi en su persecución a los famosos. Ningún aspecto de la vida privada de las'celebrities' queda fuera de su alcance. Según el reportaje, pinchazos telefónicos y control de buzones de voz son algunos de los métodos que utilizan.Tener un cómplice que trabaje en una empresa de telefonía móvil es fundamental. El confidente entra en la página web reservada a los empleados, haciendo uso de las tres contraseñas necesarias. Allí tiene acceso tanto a números de teléfonos móviles como a direcciones personales y profesionales, unas informaciones muy valiosas para un paparazzi.Igualmente valioso es un buen contacto en un aeropuerto o línea aérea. El acceso a la lista de pasajeros, incluidas las idas y venidas de aviones privados, resulta fundamental para hacer los seguimientos. La persecución no se limita a los famosos del mundo de espectáculo. Políticos, deportistas, magnates de las finanzas o integrantes de casas reales, son víctimas de los objetivos más indiscretos y de las prácticas de seguimiento más discutibles. Así queda demostrado en el proceso contra Rupert Murdoch, propietario de News Corporation, uno de los grupos mediáticos más poderosos del mundo
Detrás de todo esto y centrados en la problemática de la seguridad uno se plantea algunas preguntas respecto a las entidades afectadas por las fugas de información.

  1. ¿Para que sirve un registro de accesos exhaustivo si nadie revisa qué está consultándose y si están justificados esos usos?.
    Es obvio que usuarios desleales existen en todos sitios pero si no existe cierta sensación de control o vigilancia, camparán a sus anchas pensando que todas sus fechorías quedarán impunes. La monitorización del uso de la información, cuando se trata de grandes bases de datos es algo esencial para evitar abusos de poder. Valga como ejemplo la Base de Datos Nacional (BDN) de la AEAT. Esta ingente base de datos que hace de gran hermano tributario tiene mecanismos de auditoría continua y alerta frente a consultas anómalas o excesivas. El personal autorizado es limitado y además, existen unas reglas de uso muy claras que nadie puede saltarse. Cuando se detectan consultas excesivas o ajenas al área de responsabilidad, directamente notifica al responsable del usuario autorizado para que se justifiquen los accesos. Esta medida de seguridad hace las funciones de radar de tráfico y evita que la gente tenga tentaciones de consultar aquello que por motivos de trabajo no va a poder justificar. Además, existen también registros VIP que no pueden ser consultados por cualquiera.
  2. ¿No debería en estos casos personarse la AEPD y sancionar a todos los clientes de esta trama de infotráfico de datos?.Si la AEPD pone sanciones por tratamientos inadecuados, mucho más severa debiera ser con aquellos que se producen con un conocimiento claro de que se infringe la ley. Es curiosa también la noticia donde se comenta quienes eran los principales clientes de esta trama y como se dice en ella “Durante los últimos años, los impagos se han multiplicado debido a la crisis. Muchas personas no podían hacer frente a la hipoteca y los bancos y cajas se comenzaron a encontrar con que tenían un grave problema. Y a los detectives nos comenzaron a llegar listados de cientos de personas a las que teníamos que investigar para conocer si cobraban de algún lado o las propiedades que tenían. De este modo, por 50 ó 60 euros les pasábamos los datos y ellos les embargaban el sueldo gracias a nuestros informes. Se han ahorrado dinero a espuertas contratando a detectives”.


Nada de esto debiera extrañarnos a estas alturas porque la frase "La información es dinero y poder" es cada día que pasa más cierta. De cualquier forma, la misma LOPD que vemos muchas veces como amenaza es en estos casos nuestra defensa, el único arma posible para garantizar cierta intimidad en los tiempos que corren. Porque además, muchos parecen olvidar que en la LOPD se arbitra el "Derecho de indemnización".

Artículo 19. Derecho a indemnización.
1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
Quiere esto decir que si por cualquier causa un Responsable de Fichero no custodia o garantiza el cumplimiento de la LOPD, además de la pertinente y temida sanción de la AEPD, le pueden solicitar una indemnización por daños morales según la gravedad o impacto que pudiera tener el incumplimiento para esa persona. Así lo confirma también el Tribunal Supremo como cuenta esta noticia.


 
;