jueves, agosto 06, 2009

¿Se protegen realmente nuestros datos personales?

Leo por internet una noticia proveniente de España muy preocupante y teniendo en cuenta las desproligidades, por decirlo suavemente, que se cometen en nuestro país no puedo evitar preocuparme por el funcionamiento y control de la Dirección Nacional de Protección de Datos Personales.
En la Ciudad de Bs.As. más exactamente en la Defensoría del Pueblo de la Ciudad funciona también una Dirección de Protección de Datos Personales.
Partamos de la base que están "protegiendo" información falsa de más de 3 millones de ciudadanos de todo el país que, al no haber sido adoptados sino anotados como hijos propios, cambiaron nuestro lugar de nacimiento, el nombre de nuestros padres biológicos y hasta la fecha (año inclusive) de nacimiento.
Hay casos hasta de hermanos que los anotaron como mellizos, cuando en realidad nacieron de distinta madre y con diferencia de días. Es decir, ni siquiera son hermanos realmente.
La nota que transcribo a continuación me hace pensar en quién controla la información especialmente de las organizaciones privadas que intervienen en las adopciones porque es cierto que hay muchos niños necesitando una familia pero tampoco pensemos en adoptar a cualquier costo. Porque hablamos de seres humanos, de niños que merecen respeto y cuando deseen conocer su verdadera historia deberán encontrarse con la verdad y no con hechos confusos e irregulares.
Graciela Palma (ciudadana sin identidad)

Los datos de cientos de niños adoptados aparecen en redes P2P
Miercoles, Agosto 5, 2009,
Los datos personales de un gran número de niños en proceso de adopción o adoptados y las correspondientes parejas de adoptantes, se hallaban en redes de intercambio de ficheros P2P; la información se contenía en dos bases de datos .mdb.
La Agencia Española de Protección de Datos ha sancionado a la Asociación que estaba a cargo de estas adopciones, pero los ficheros podrían haber sido intercambiados por multitud de usuarios.Un caso más de aparición en este tipo de redes de documentos o bases de datos con información personal, confidencial o privada. Sin embargo en esta ocasión considero el asunto de especial gravedad, pues la información de los ficheros hace referencia a los datos personales de niños en fase de adopción o adoptados y sus adoptantes.En concreto se trataba de 2 bases de datos de Microsoft Access, cuyos nombre de fichero eran “ecai-cmancha.mdb” y “ecai-madrid.mdb” (no os molestéis en buscarlos porque ya han sido eliminados).¿Cómo se produjo la fuga de datos?Parece que no fue la clásica torpeza becerril de instalar el eMule en el servidor de la Asociación y compartir C:\, sino que por el relato de los hechos se desprende que la esposa del programador de la base de datos se copió en un pen-drive dicha base de datos, sin autorización de la Asociación, la volvió a copiar a su ordenador de casa y la estuvo compartiendo en el eMule. Pudo copiarla sin problemas porque era trabajadora de la Asociación, pero después de descubrir el asunto fue despedida.La Ley Orgánica de Protección de Datos es plenamente aplicable en este supuesto. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.
Sintetizando las previsiones legales puede afirmarse que:
a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave. En este caso la Asociación vulneró este principio de seguridad de los datos al permitir el acceso de terceros no autorizados a información personal.
La Agencia Española de Protección de Datos sancionó finalmente con 6000 euros a dicha Asociación, sanción que a mi juicio se muestra insuficiente dada la naturaleza de los datos difundidos.Otro asunto que levanta mi curiosidad desde hace algún tiempo es el procedimiento seguido por la Agencia para averiguar el titular de la línea telefónica desde la que se estaba compartiendo el fichero. Recordemos que no era la Asociación quien compartía el fichero sino una ex-trabajadora desde su casa; la Agencia descubre este extremo al inicio de las actuaciones cuando Telefónica le remite el nombre, apellidos y dirección del titular de la línea que a la fecha y hora indicada estaba haciendo uso de la dirección IP que compartía el fichero.¿Fue esta prueba obtenida de forma lícita? ¿Puede la Agencia, directamente y sin autorización judicial, requerir dicha información a los ISP? Recordemos que la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado.