Ilmo. Sr. Director de la Agencia de Protección de Datos
Agencia de Protección de Datos
ILMO. SR.:
Don Rogelio Turrado Turrado, con D.N.I. nº XX.XXX.XXX-X , Letrado nº 61.074 del M.I. Colegio de Abogados de Madrid, en nombre y representación de la Asociación de Internautas, con C.I.F. nº G-82.182.494, inscrita en el Registro Nacional de Asociaciones con el número nacional 164.343 y domicilio a efectos de notificaciones en la C/ General Moscardó, 27, esc. izda. 601, 28020 Madrid, comparece y como mejor proceda en Derecho,
DICE:
Que, por medio del presente escrito formula, al amparo del artículo 51 de la Constitución Española, de los artículos 35 y ss. y 43 y ss. de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, DENUNCIA contra Telefónica Data S.A., con domicilio en la C/ Beatriz de Bobadilla, 18 28040 Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, en base a las siguientes
ALEGACIONES:
PRIMERA.- La mercantil Telefónica Data, S.A. es responsable y encargada del tratamiento de un fichero de datos de carácter personal en el que se recoge diversa información concerniente a varias personas físicas y jurídicas de este país, usuarias del servicio ADSL.
SEGUNDA.- En fecha 8 de marzo de 2001 se ha podido constatar por la Asociación denunciante que, durante al menos 1 hora, entre las 21´00 horas y las 22´00 horas existió la posibilidad de cualquier persona de acceder mediante el tecleo de una dirección IP a cualquiera de los datos contenidos en el fichero de Telefónica Data referidos a cualquier usuario del servicio ADSL, sin necesidad de introducir clave alguna y sin impedimento alguno, ni siquiera mínimo.
Estos datos se refería al nombre y apellidos, dirección, nº de teléfono del servicio ADSL y dirección IP del usuario del servicio.
De este modo, en la fecha y durante el periodo antedicho, los datos del fichero fueron absolutamente públicos y su acceso totalmente libre para quien conociera la referida dirección IP, con el consiguiente perjuicio que ello pudo ocasionar. Es de hacer notar que el acceso a esta información se produce mediante el tecleado de una dirección IP, no mediante el tecleo de una dirección identificada mediante caracteres alfabéticos, como es habitual. No es, por tanto, conocida la referida dirección IP ni accesible al público, a pesar de lo cual fue obtenida la misma sin mucha dificultad y por ende fue posible el acceso a los mencionados datos.
TERCERA.- El artículo 9 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal obliga al responsable del fichero, y, en su caso, al encargado del tratamiento a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y añade a continuación que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
CUARTA.- El artículo 44.3 h) de la misma LO considera como infracción grave:
Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Este Reglamento, dado lo dispuesto en la Disposición Transitoria Tercera de la LO que nos ocupa, es el aprobado por Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en cuyo artículo 11 se dice:
El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.
A continuación añade en su artículo 12:
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
La relación de usuarios a la que se refiere el art. 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.
Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
QUINTA.- El artículo 37 de la LO 15/1999 encomienda en su apartado g) a la Agencia de Protección de Datos el ejercicio de la Potestad Sancionadora, en los términos establecidos en la propia Ley.
SEXTA.- El Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, en vigor como consecuencia de lo dispuesto en la Disposición Transitoria Tercera de la LO 15/1999, determina que el procedimiento sancionador, se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de Protección de Datos
SOLICITA A V.I.: Que, habiendo por presentado este escrito junto con los documentos acompañados y sus copias, se sirva admitirlo y tenga por formulada, en nombre y representación de la Asociación de Internautas, DENUNCIA contra Telefónica Data S.A., con domicilio en la C/ Beatriz de Bobadilla, 18 28040 Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, procediendo a incoar el correspondiente expediente sancionador, en el que deberá ser parte esta Asociación de Internautas, el cual deberá seguirse según los trámites legalmente establecidos, hasta que por V.I. se dicte la resolución que proceda, la cual deberá ser comunicada asimismo a esta Asociación tal y como previene el Real Decreto 1332/1994, de 20 de junio.
Todo ello por ser de Justicia que pide en Madrid, a 12 de marzo de 2001.
ASOCIACIÓN DE INTERNAUTAS
Agencia de Protección de Datos
Don Rogelio Turrado Turrado, con D.N.I. nº XX.XXX.XXX-X , Letrado nº 61.074 del M.I. Colegio de Abogados de Madrid, en nombre y representación de la Asociación de Internautas, con C.I.F. nº G-82.182.494, inscrita en el Registro Nacional de Asociaciones con el número nacional 164.343 y domicilio a efectos de notificaciones en la C/ General Moscardó, 27, esc. izda. 601, 28020 Madrid, comparece y como mejor proceda en Derecho,
Que, por medio del presente escrito formula, al amparo del artículo 51 de la Constitución Española, de los artículos 35 y ss. y 43 y ss. de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, DENUNCIA contra Telefónica Data S.A., con domicilio en la C/ Beatriz de Bobadilla, 18 28040 Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, en base a las siguientes
PRIMERA.- La mercantil Telefónica Data, S.A. es responsable y encargada del tratamiento de un fichero de datos de carácter personal en el que se recoge diversa información concerniente a varias personas físicas y jurídicas de este país, usuarias del servicio ADSL.
SEGUNDA.- En fecha 8 de marzo de 2001 se ha podido constatar por la Asociación denunciante que, durante al menos 1 hora, entre las 21´00 horas y las 22´00 horas existió la posibilidad de cualquier persona de acceder mediante el tecleo de una dirección IP a cualquiera de los datos contenidos en el fichero de Telefónica Data referidos a cualquier usuario del servicio ADSL, sin necesidad de introducir clave alguna y sin impedimento alguno, ni siquiera mínimo.
Estos datos se refería al nombre y apellidos, dirección, nº de teléfono del servicio ADSL y dirección IP del usuario del servicio.
De este modo, en la fecha y durante el periodo antedicho, los datos del fichero fueron absolutamente públicos y su acceso totalmente libre para quien conociera la referida dirección IP, con el consiguiente perjuicio que ello pudo ocasionar. Es de hacer notar que el acceso a esta información se produce mediante el tecleado de una dirección IP, no mediante el tecleo de una dirección identificada mediante caracteres alfabéticos, como es habitual. No es, por tanto, conocida la referida dirección IP ni accesible al público, a pesar de lo cual fue obtenida la misma sin mucha dificultad y por ende fue posible el acceso a los mencionados datos.
TERCERA.- El artículo 9 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal obliga al responsable del fichero, y, en su caso, al encargado del tratamiento a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y añade a continuación que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
CUARTA.- El artículo 44.3 h) de la misma LO considera como infracción grave:
Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Este Reglamento, dado lo dispuesto en la Disposición Transitoria Tercera de la LO que nos ocupa, es el aprobado por Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en cuyo artículo 11 se dice:
El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.
A continuación añade en su artículo 12:
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
La relación de usuarios a la que se refiere el art. 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.
Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
QUINTA.- El artículo 37 de la LO 15/1999 encomienda en su apartado g) a la Agencia de Protección de Datos el ejercicio de la Potestad Sancionadora, en los términos establecidos en la propia Ley.
SEXTA.- El Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, en vigor como consecuencia de lo dispuesto en la Disposición Transitoria Tercera de la LO 15/1999, determina que el procedimiento sancionador, se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de Protección de Datos
SOLICITA A V.I.: Que, habiendo por presentado este escrito junto con los documentos acompañados y sus copias, se sirva admitirlo y tenga por formulada, en nombre y representación de la Asociación de Internautas, DENUNCIA contra Telefónica Data S.A., con domicilio en la C/ Beatriz de Bobadilla, 18 28040 Madrid, POR LA MANIFIESTA FALTA DE SEGURIDAD EXISTENTE EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL QUE OBRAN EN PODER DE LA MENCIONADA ENTIDAD, procediendo a incoar el correspondiente expediente sancionador, en el que deberá ser parte esta Asociación de Internautas, el cual deberá seguirse según los trámites legalmente establecidos, hasta que por V.I. se dicte la resolución que proceda, la cual deberá ser comunicada asimismo a esta Asociación tal y como previene el Real Decreto 1332/1994, de 20 de junio.
Todo ello por ser de Justicia que pide en Madrid, a 12 de marzo de 2001.
ASOCIACIÓN DE INTERNAUTAS
