Ilmo. Sr. Director de la Agencia de Protección de Datos
Agencia de Protección de Datos ILMO. SR.:
Don Rogelio Turrado Turrado, con D.N.I. nº XX.XXX.XXX-X,
Letrado nº 61.074 del M.I. Colegio de Abogados de Madrid, en nombre y representación de
la Asociación de Internautas, con C.I.F. nº G-82.182.494, inscrita en el Registro
Nacional de Asociaciones con el número nacional 164.343 y domicilio a efectos de
notificaciones en la C/ General Moscardó, 27, esc. izda. - 601, 28020 Madrid, comparece y
como mejor proceda en Derecho,
DICE:
Que, por medio del presente escrito formula, al amparo del
artículo 51 de la Constitución Española, de los artículos 35 y ss. y 43 y ss. de la
L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, DENUNCIA
contra Telefónica de España, S.A., Sociedad Unipersonal, con domicilio en la C/ Gran
Vía, 19, 28013 - Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS
DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, en base a las
siguientes
ALEGACIONES:
PRIMERA.- Como es conocido y notorio la
mercantil Telefónica de España, S.A., Sociedad Unipersonal, es responsable y encargada
del tratamiento de un fichero de datos de carácter personal en el que se recoge diversa
información concerniente a una ingente cantidad de personas físicas y jurídicas de este
país.
SEGUNDA.- La mercantil denunciada ofrece a
través de Internet la posibilidad a sus abonados de acceder y visualizar los datos de su
factura. Esta información comprende datos tales como nombre, dirección, NIF, datos de la
domiciliación bancaria (incluido el número de cuenta), así como un completo desglose de
la factura en sí. . En principio, para acceder a este servicio, que es público y está
al alcance de cualquier internauta que pase por el web de Telefónica, es necesario un
nombre de usuario y password, tal y como se informa en las páginas web del operador.
TERCERA.- Sin embargo, en fecha 28 de
febrero de 2000 se ha podido constatar por la Asociación denunciante que, durante al
menos 10 horas, existió la posibilidad de cualquier persona de acceder a cualquiera de
los datos contenidos en el fichero de Telefónica de España S.A., referidos a cualquier
usuario, sin necesidad de introducir clave alguna y sin impedimento alguno, ni siquiera
mínimo. El problema pudo provenir de un fallo de programación y configuración del
servidor web. En efecto, cuando se accede a la información "supuestamente"
confidencial, se pide un nombre de usuario y password mediante una autenticación, pero la
cuestión es que existe una página en ese directorio a la que se puede acceder, sin que
el servicio solicite nombre de usuario y password, a través de la cual es posible
realizar las consultas anteriormente descritas. Resultó así relativamente sencillo
saltarse esta protección con tan sólo introducir el número de teléfono sobre el que se
deseaba obtener información Con ayuda de un navegador y conociendo una dirección web
concreta, cualquier persona pudo, de este modo, acceder vía web a las facturas de
cualquier abonado de Telefónica. Información tan sensible como nombre, dirección, NIF,
datos de la domiciliación bancaria (incluido el número de cuenta), así como un completo
desglose de la factura, estuvieron accesibles a todo el mundo a través de Internet sin
ningún tipo de restricción. De este modo, en la fecha y durante el periodo antedicho,
los datos del fichero fueron absolutamente públicos y su acceso totalmente libre para
quien quisiera consultarlos, con el consiguiente perjuicio que ello pudo ocasionar.
CUARTA.- El artículo 9 de la LO 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal obliga al responsable
del fichero, y, en su caso, al encargado del tratamiento a adoptar las medidas de índole
técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida
cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos
a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Y
añade a continuación que no se registrarán datos de carácter personal en ficheros que
no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y
programas.
QUINTA.- El artículo 44.3 h) de la misma
LO considera como infracción grave: "Mantener los ficheros, locales, programas o
equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad
que por vía reglamentaria se determinen". Este Reglamento, dado lo dispuesto en la
Disposición Transitoria Tercera de la LO que nos ocupa, es el aprobado por Real Decreto
994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de
los ficheros automatizados que contengan datos de carácter personal, en cuyo artículo 11
se dice: "El responsable del fichero se encargará de que exista una relación
actualizada de usuarios que tengan acceso autorizado al sistema de información y de
establecer procedimientos de identificación y autenticación para dicho acceso. Cuando el
mecanismo de autenticación se base en la existencia de contraseñas existirá un
procedimiento de asignación, distribución y almacenamiento que garantice su
confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se
determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma
ininteligible." A continuación añade en su artículo 12: "Los usuarios
tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el
desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para
evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los
autorizados. La relación de usuarios a la que se refiere el art. 11.1 de este Reglamento
contendrá el acceso autorizado para cada uno de ellos. Exclusivamente el personal
autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el
acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el
responsable del fichero."
SEXTA.- El artículo 37 de la LO 15/1999
encomienda en su apartado g) a la Agencia de Protección de Datos el ejercicio de la
Potestad Sancionadora, en los términos establecidos en la propia Ley.
SÉPTIMA.- El Real Decreto 1332/1994, de
20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de
29 de octubre, de regulación del tratamiento automatizado de los datos de carácter
personal, en vigor como consecuencia de lo dispuesto en la Disposición Transitoria
Tercera de la LO 15/1999, determina que el procedimiento sancionador, se iniciará siempre
de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados,
por acuerdo del Director de la Agencia de Protección de Datos
En virtud de lo expuesto,
SOLICITA A V.I.: Que, habiendo por
presentado este escrito junto con los documentos acompañados y sus copias, se sirva
admitirlo y tenga por formulada, en nombre y representación de la Asociación de
Internautas, DENUNCIA contra Telefónica de España S.A., con domicilio en la C/ Gran
Vía, 19, 28013 - Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS
DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, procediendo a
incoar el correspondiente expediente sancionador, en el que deberá ser parte esta
Asociación de Internautas, el cual deberá seguirse según los trámites legalmente
establecidos, hasta que por V.I. se dicte la resolución que proceda, la cual deberá ser
comunicada asimismo a esta Asociación tal y como previene el Real Decreto 1332/1994, de
20 de junio. Todo ello por ser de Justicia que pide en Madrid, a 10 de marzo de 2000.
ASOCIACIÓN DE INTERNAUTAS
Don Rogelio Turrado Turrado |