Árbitros a la intemperie

Tener instalado un programa para compartir archivos como el eMule en un ordenador que alberga información sensible puede resultar tan arriesgado como dejar la puerta de la casa abierta con un cartel invitando a pasar a cualquier curioso. Debido al despite de un empleado y a la falta de cualquier medida de seguridad adecuadas, la Federación Vizcaína de Baloncesto dejó inconscientemente a disposición de los millones de internautas que utilizan dicho programa para descargarse música o películas los datos personales de 395 árbitros de baloncesto de todas las categorías que residen en el País Vasco...

Tener instalado un programa para compartir archivos como el eMule en un ordenador que alberga información sensible puede resultar tan arriesgado como dejar la puerta de la casa abierta con un cartel invitando a pasar a cualquier curioso. Debido al despite de un empleado y a la falta de cualquier medida de seguridad adecuadas, la Federación Vizcaína de Baloncesto dejó inconscientemente a disposición de los millones de internautas que utilizan dicho programa para descargarse música o películas los datos personales de 395 árbitros de baloncesto de todas las categorías que residen en el País Vasco. Al haber reconocido su error y prometido incrementar las medidas de seguridad, la Agencia Española de Protección de Datos (AEPD) optó por imponer a la federación una sanción leve cifrada en 6.000 euros.

La Agencia de Protección de Datos le ha sancionado con 6.000 euros

La Policía Local de Ourense, que tiene entre sus filas a Pedro Fernández, un agente que en su tiempo libre se dedica a patrullar por la Red y quien ya descubrió que una clínica de Bilbao había dejado accesibles en el eMule 11.300 historias clínicas -fue sancionada con 150.000 euros-, dio el aviso de este nuevo caso en marzo de 2007. El procedimiento sancionador se resolvió el pasado mes de diembre y se ha hecho público recientemente. La policía orensana alertó a la AEPD de la existencia de un fichero que incluía los nombres, apellidos, la dirección personal y el número de licencia de 395 colegiados de baloncesto residentes en Euskadi.

France Telecom, la proveedora del servicio de Internet del ordenador desde el cual se había subido el archivo, identificó la correspondiente dirección de IP y la AEPD pudo localizar al usuario implicado. Éste, probablemente asustado por la interpelación, dijo estar totalmente sorprendido por el asunto y negó saber qué datos contenía el archivo: "No tengo ningún tipo de relación ni vinculo con ningún arbitro", señaló a la agencia.

No hizo falta que fuese la propia federación la que compartiese el archivo para resultar sancionada. Basta legalmente con que quede probado que el archivo fue creado por la entidad. La ley de Protección de Datos, en vigor desde 1999, considera una sanción grave, multada con entre 60.000 y 300.000 euros, el hecho de no garantizar con las debidas condiciones de seguridad los ficheros que albergan información sensible.

La Federación Vizcaína de Baloncesto reconoció ser la responsable del archivo en cuestión y quiso enmendar su error cuanto antes. Sus responsables formatearon el equipo informático en el que se produjo el error de dejar accesible el archivo, crearon nuevos perfiles de usuarios y contraseñas exclusivamente para las personas autorizadas a acceder a la base de datos y pusieron en marcha distintos mecanismos para impedir que sus empleados puedan instalar programas sin la autorización de los administradores de sistemas.

"Se ha aumentado el control en el resto de medidas, tales como no revelar información a personas no autorizadas, no almacenar datos personales en disquetes, CD u otros soportes", añadió la federación en su escrito de alegaciones a la Agencia de Protección de Datos. Además de la rapidez con la que se corrigió la infracción, la agencia tuvo en cuenta que no había intencionalidad ni reincidencia en la conducta de la federación. Teniendo en cuenta todo ello, la multa se quedó al final en 6.000 euros.

La AEPD, que preside Artemi Rallo, es responsable del control de los ficheros informáticos del sector privado, pues en Euskadi la competencia sobre los de las administraciones públicas corresponde a la Agencia Vasca de Protección de Datos. La AEPD abrió el año pasado en la comunidad autónoma un total de 22 expedientes sancionadores (16 en Vizcaya, cuatro en Guipúzcoa y dos en Álava), un descenso apreciable sobre los 41 que instruyó en 2007 (27 en Vizcaya, cinco en Guipúzcoa y nueve en Álava).