La AEPD impone dos sanciones ante denuncias por supuestas suplantaciones de identidad

Áudea Seguridad de la Información - Tuesday, May 30, 2017.
Enviado por Áudea

Hoy hablaremos de dos sanciones impuestas por la Agencia Española de Protección de Datos, que aun siendo similares en el hecho denunciado, contienen diferencias sustanciales que tienen su reflejo en la resolución emitida. Las Resoluciones analizadas son la 02108/2010 y la 00343/2017.

Suplantación de identidad

En ambos casos nos encontramos ante denuncias por supuestas suplantaciones de identidad que, además, cuentan con el posible tratamiento de datos especialmente protegidos. Pero antes de revisar las similitudes y diferencias, vamos a hacer un pequeño resumen de los hechos. En el primer caso se trata de varias altas en nombre del afectado en un portal destinado al establecimiento de relaciones personales del público homosexual, mientras que el segundo es el alta en una web de contactos sexuales. En ambos casos el resultado es que los afectados han visto sus datos personales publicados en estos medios sin haber tenido ningún tipo de relación previa con estos portales.

Durante la investigación de ambos casos, la AEPD se ha centrado en dos puntos fundamentales, por un lado la identificación del sujeto responsable y por otro la existencia o no de un tratamiento de datos personales especialmente protegidos y por lo tanto la posible existencia de un incumplimiento calificado como muy grave de la LOPD.

En busca del responsable

Pues bien, para la identificación del responsable la AEPD se ha centrado en la investigación de la IP de los equipos, encontrando aquí la primera diferencia entre los dos casos analizados y que finalmente deriva en una de las diferencias fundamentales de ambas resoluciones, el sujeto sancionado y por tanto el incumplimiento aplicado. En el primero de los casos, se demuestra que la IP utilizada para realizar las altas fraudulentas corresponde a un cibercafé, no pudiendo por tanto identificar a un sujeto individual, mientras que en el segundo caso sí se identifica  un abonado, persona física. Este hecho resulta fundamental y es que al no poder identificar al sujeto que realizó la suplantación, la AEPD se centra en el portal y en que el mismo carece de las medidas necesarias dirigidas a autenticar al usuario antes de confirmar la incorporación del perfil con sus datos, es decir, no cuenta con un sistema de doble confirmación de identidad como por ejemplo el envío de un email para que confirme su alta en el servicio.

De lo anterior deriva que en el primero de los casos la AEPD imputa al portal un incumplimiento de las medidas de seguridad exigidas en el artículo 9 de la LOPD, concretamente incumplimiento de las medidas de control de acceso e identificación y autenticación, mientras que en el segunda caso en ningún momento se imputa a la web (aun habiendo quedado claro que tampoco contaba con las medidas antes reseñadas), dirigiéndose directamente contra la persona física identificada por la IP del equipo.

Datos protegidos

En cuanto a la existencia o no de datos especialmente protegidos, en el primero de los casos la AEPD entiende que por el hecho de que se conteste a determinadas preguntas cuando el ciudadano intenta darse de alta en el portal permitiendo así que la búsqueda de contactos personales que se adapten mejor a sus preferencias de vida sexual, es indicio claro de la existencia de datos especialmente protegidos. Parece un razonamiento lógico, pero delimitar la existencia de estos datos a un formulario o cuestionario es más discutible, y es que en el segundo de los casos, donde no hay cuestionario, pero el contenido de los anuncios puede ser suficientemente explicito en cuanto a su contenido, no parece razón suficiente para la AEPD para calificarlo como dato especialmente protegido ya que en ningún momento de la Resolución se hace mención alguna a este tipo de datos.

En definitiva, nos encontramos con dos casos similares en los que la delimitación del sujeto responsable, hace que el resultado de las Resoluciones cambien sensiblemente. El resultado, sanción de 90.000€  a la plataforma por incumplimiento del artículo 7.3, mientras que en el segundo caso se sanciona únicamente a la persona tras la IP por infracción del artículo 6.1 con 6.000€.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

 

Acerca de Áudea Seguridad de la Información

La información es uno de los activos más importantes de su empresa. El objetivo fundamental de Áudea Seguridad de la Información es la protección de datos y la gestión de su seguridad.

Áudea Seguridad de la Información es una consultora tecnológica que presta servicios profesionales relacionados con la gestión de la Seguridad de la Información y Nuevas Tecnologías frente a las normas nacionales e internacionales que desde su nacimiento ha vivido, gracias al esfuerzo de sus integrantes, una etapa de expansión, motivados por satisfacer las necesidades de nuestros clientes para que su activo principal, su información, esté debidamente gestionada y protegida.

Nuestros servicios están divididos en cuatro áreas diferentes: Compliance, Seguridad TIC, Derecho TIC y Formación, ofreciendo, entre otros, estos servicios: Consultoría y Auditoría en ISO 27001, ISO 22301, Continuidad de Negocio, ISO 20000, LOPD Protección de Datos, Reputación Online, Esquema Nacional de Seguridad ENS, Auditoría Hacking Ético, etc. que se complementan entre sí, consiguiendo el objetivo final que nos demandan nuestros clientes: “La seguridad de su información”.

Desde Áudea, le garantizamos que el equipo de profesionales que ponemos a su disposición está altamente cualificado y capacitado para dar respuesta a todas sus necesidades en la materia de la Seguridad de la Información y Protección de Datos (LOPD) y que recibirá un asesoramiento personalizado y de excelente calidad. Estas características son las que, después de 10 años, nos han dado la oportunidad de ser un referente en el mercado de la Protección de Datos y la Consultoría Tecnológica.

Como reconocimiento a nuestra experiencia en el sector, Áudea forma parte del Subcomité 27 (Técnicas de Seguridad) y SC7 (Ingeniería de Software y Sistemas de Información) del Comité Técnico de Normalización CTN71 de Tecnología de la Información de AENOR, responsable de normas como la ISO 27000, 20000, etc.

Mas información acerca de Áudea Seguridad de la Información

Información de contacto

Áudea Seguridad de la Información comunicacion@audea.es

  • Imprimir
  • Reportar abuso

Comentarios

Escribe tu comentario