Sanción por almacenaje indebido de contraseñas

Sanción por almacenaje indebido de contraseñas y aportación a juicio

La Agencia Española de Protección de Datos ha dictado una resolución, en junio de 2009, sobre uso indebido de contraseñas, que realmente es llamativa, a pesar de que dicho organismo, la AEPD, no ha hecho sino aplicar el Reglamento anterior de la LOPD (uno de ellos), hoy no vigente, pero sí en el momento de los hechos, el RD 994/1999, también llamado o conocido por Reglamento de Medidas de Seguridad. Hoy en día, aunque ya no está en vigor, el Reglamento que desarrolla la LOPD (RLOPD) regula lo que ahora expondremos de una forma prácticamente idéntica.

¿Qué ocurrió?

Una empresa, la finalmente objeto de sanción por la Agencia, que vendía productos vía Internet, se entera, por un cliente propio, de que un tercero está efectuando compras a cargo de aquél, totalmente indebidas y fraudulentas, naturalmente. A tal fin lo suplantaba a través de la web que dicha empresa tenía en la Red.

La empresa acude al juzgado, y entre otras cosas, aporta la contraseña que se supone usó el presunto estafador. Pues bien, este último, acude a un asesor en protección de datos, y una vez bien asesorado interpone denuncia (ante la Agencia) contra la empresa. Su motivo fue que según el Reglamento de Medidas de Seguridad (hoy sería el RLOPD), las contraseñas se almacenarán de forma ininteligible, no habiéndolo hecho así la empresa desde el momento en el que aporta la contraseña al juzgado en claro, esto es, contraviniendo el precepto que en desarrollo de la LOPD ordena que el almacenamiento de las contraseñas se efectúe de modo ininteligible. La Agencia apertura un expediente sancionador a la empresa, comunicándole a la misma que el tramo de sanción en juego va de 60.000 a 300.000 euros, siendo el motivo de la presunta infracción el contravenir el artículo 11º2 del reglamento ya citado, que dice: “Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible”.

Alegaciones de la empresa

La empresa, en su defensa, alega que realmente no almacenan dichas contraseñas en claro, sino que para su encriptación usan técnicas de cifrado con algoritmos suficientemente sofisticados como para conseguir el efecto de la ininteligibilidad exigida. No obstante, añade, las aportó en claro al juzgado, en ejercicio de su derecho a la tutela judicial efectiva, reconocido en la Constitución, ya que de lo contrario se quedaría indefensa a la hora de intentar demostrar en el correspondiente juicio la falta de estafa cometida por el que suplantó a su cliente en la web.

La Agencia, después de unas cuantas averiguaciones, y analizando también las manifestaciones de la empresa durante el procedimiento ante ella, y ante el juzgado, concluye que el almacenaje de las contraseñas no se hizo de modo ininteligible, y añade que en su aportación al juzgado, ya en claro, se hizo la misma voluntariamente, sin requerimiento ni solicitud judicial. Este organismo comenta que una cosa es que a requerimiento judicial aportemos las contraseñas (supuesto este que no era el caso) o, que aún no habiendo tal requerimiento, propongamos ello al juzgado, y éste lo aceptado (supuesto que tampoco se dio en el presente asunto). En dichos dos supuestos, entiende la Agencia que sí sería lícito aportar las mismas sin estar de modo ininteligible, pero concluye que éste no era el caso.

La prueba en que se basó el denunciante ante la Agencia fue que recibió una citación del juzgado, en el que la empresa lo denunciaba a su vez a él, en un juicio de faltas, y juntamente con la denuncia le llega, por su aportación por la empresa al juzgado, una fotocopia en la que se imprime un pantallazo de la base de datos de clientes de la misma, e incorporado y contenido en ella, en claro, esto es, no de modo ininteligible, la contraseña.

Resolución y razonamiento final de la AEPD

Considera la misma que a los profesionales del sector, y esta empresa lo era, se les exige un plus de diligencia mayor que a la persona ajena al mismo, y que se infringe el precepto que ahora se entiende incumplido, con independencia de intencionalidad en cuanto a ello, pues lo único que se mira es el resultado, no el ánimo o no de causar un daño a nadie (empresa alegó también que en ningún momento actuó de mala fe, ni movida por ánimo malicioso alguno).

No obstante, y aunque el tramo de sanción era bastante elevado (de 60.000 a 300.000 euros), la Agencia consideró en aplicación del principio de proporcionalidad y de las demás circunstancias concurrentes, debíase bajar el importe de la sanción, dejándola finalmente en 1.000 euros (que, curiosamente, era más de lo que reclamaba en el juicio, por lo que le hubiese sido más rentable, no haber reclamado ante el juzgado, y haberse asesorado bien en protección de datos, que haber hecho lo que hizo)

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: