Quedate en casa




   Noticias - 14/Marzo/00

LOGO

  
La Asociación de Internautas presenta hoy una denuncia contra Telefónica

Por el fallo de seguridad que expuso la información de sus abonados en Internet

EFE. Madrid

La Asociación de Internautas presentará mañana una denuncia contra Telefónica en la Agencia de Protección de Datos por el fallo de seguridad del pasado 28 de febrero en la página electrónica de consulta de facturas, según anunciaron fuentes del gabinete jurídico de este colectivo.

El fallo informático, del que todavía se desconocen las causas y que investiga la compañía, permitió el acceso a través de Internet a las facturas de los clientes, el domicilio, el nombre, el NIF y las domiciliaciones bancarias.

La denuncia se basa en que la Ley Orgánica de Protección de Datos determina sanciones administrativas en el caso de que falle la seguridad de los ficheros, explicaron fuentes de B&T Gabinete Jurídico.

Así, la Asociación de Internautas "se limita a comunicar los hechos ante el órgano administrativo correspondiente" para que éste investigue los hechos, con el fin de que "de que no se vuelva a repetir una situación similar", agregaron las fuentes.

La posibilidad de presentar una denuncia ante los juzgados ordinarios está "en fase muy incipiente", ya que, "con los medios tecnológicos que hay actualmente, sería muy difícil demostrar que alguien visualizó los datos"; es decir, es "casi imposible probar los daños y perjuicios", según el gabinete jurídico de la Asociación de Internautas.

REPRODUCIDO DE EL MUNDO

TEXTO DE LA DENUNCIA

Ilmo. Sr. Director de la Agencia de Protección de Datos Agencia de Protección de Datos

ILMO. SR.:

Don Rogelio Turrado Turrado, con D.N.I. nº XX.XXX.XXX-X, Letrado nº 61.074 del M.I. Colegio de Abogados de Madrid, en nombre y representación de la Asociación de Internautas, con C.I.F. nº G-82.182.494, inscrita en el Registro Nacional de Asociaciones con el número nacional 164.343 y domicilio a efectos de notificaciones en la C/ General Moscardó, 27, esc. izda. - 601, 28020 Madrid, comparece y como mejor proceda en Derecho,

DICE:

Que, por medio del presente escrito formula, al amparo del artículo 51 de la Constitución Española, de los artículos 35 y ss. y 43 y ss. de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, DENUNCIA contra Telefónica de España, S.A., Sociedad Unipersonal, con domicilio en la C/ Gran Vía, 19, 28013 - Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, en base a las siguientes

ALEGACIONES:

PRIMERA.- Como es conocido y notorio la mercantil Telefónica de España, S.A., Sociedad Unipersonal, es responsable y encargada del tratamiento de un fichero de datos de carácter personal en el que se recoge diversa información concerniente a una ingente cantidad de personas físicas y jurídicas de este país.

SEGUNDA.- La mercantil denunciada ofrece a través de Internet la posibilidad a sus abonados de acceder y visualizar los datos de su factura. Esta información comprende datos tales como nombre, dirección, NIF, datos de la domiciliación bancaria (incluido el número de cuenta), así como un completo desglose de la factura en sí. . En principio, para acceder a este servicio, que es público y está al alcance de cualquier internauta que pase por el web de Telefónica, es necesario un nombre de usuario y password, tal y como se informa en las páginas web del operador.

TERCERA.- Sin embargo, en fecha 28 de febrero de 2000 se ha podido constatar por la Asociación denunciante que, durante al menos 10 horas, existió la posibilidad de cualquier persona de acceder a cualquiera de los datos contenidos en el fichero de Telefónica de España S.A., referidos a cualquier usuario, sin necesidad de introducir clave alguna y sin impedimento alguno, ni siquiera mínimo. El problema pudo provenir de un fallo de programación y configuración del servidor web. En efecto, cuando se accede a la información "supuestamente" confidencial, se pide un nombre de usuario y password mediante una autenticación, pero la cuestión es que existe una página en ese directorio a la que se puede acceder, sin que el servicio solicite nombre de usuario y password, a través de la cual es posible realizar las consultas anteriormente descritas. Resultó así relativamente sencillo saltarse esta protección con tan sólo introducir el número de teléfono sobre el que se deseaba obtener información Con ayuda de un navegador y conociendo una dirección web concreta, cualquier persona pudo, de este modo, acceder vía web a las facturas de cualquier abonado de Telefónica. Información tan sensible como nombre, dirección, NIF, datos de la domiciliación bancaria (incluido el número de cuenta), así como un completo desglose de la factura, estuvieron accesibles a todo el mundo a través de Internet sin ningún tipo de restricción. De este modo, en la fecha y durante el periodo antedicho, los datos del fichero fueron absolutamente públicos y su acceso totalmente libre para quien quisiera consultarlos, con el consiguiente perjuicio que ello pudo ocasionar.

CUARTA.- El artículo 9 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal obliga al responsable del fichero, y, en su caso, al encargado del tratamiento a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Y añade a continuación que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

QUINTA.- El artículo 44.3 h) de la misma LO considera como infracción grave: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". Este Reglamento, dado lo dispuesto en la Disposición Transitoria Tercera de la LO que nos ocupa, es el aprobado por Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en cuyo artículo 11 se dice: "El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible." A continuación añade en su artículo 12: "Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. La relación de usuarios a la que se refiere el art. 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero."

SEXTA.- El artículo 37 de la LO 15/1999 encomienda en su apartado g) a la Agencia de Protección de Datos el ejercicio de la Potestad Sancionadora, en los términos establecidos en la propia Ley.

SÉPTIMA.- El Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, en vigor como consecuencia de lo dispuesto en la Disposición Transitoria Tercera de la LO 15/1999, determina que el procedimiento sancionador, se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de Protección de Datos

En virtud de lo expuesto,

SOLICITA A V.I.: Que, habiendo por presentado este escrito junto con los documentos acompañados y sus copias, se sirva admitirlo y tenga por formulada, en nombre y representación de la Asociación de Internautas, DENUNCIA contra Telefónica de España S.A., con domicilio en la C/ Gran Vía, 19, 28013 - Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, procediendo a incoar el correspondiente expediente sancionador, en el que deberá ser parte esta Asociación de Internautas, el cual deberá seguirse según los trámites legalmente establecidos, hasta que por V.I. se dicte la resolución que proceda, la cual deberá ser comunicada asimismo a esta Asociación tal y como previene el Real Decreto 1332/1994, de 20 de junio. Todo ello por ser de Justicia que pide en Madrid, a 10 de marzo de 2000.

                                                                      ASOCIACIÓN DE INTERNAUTAS

 

                                                                      Don Rogelio Turrado Turrado

ASOCIACION DE INTERNAUTAS