El escenario no puede ser más desolador para el administrador de una red corporativa: uno de los trabajadores de una empresa instala el conocido programa de intercambio de ficheros eMule (el sistema se lo permite), se conecta a Internet con él para bajar ficheros (la Red se lo permite) y para colmo, pone a compartir […]
El escenario no puede ser más desolador para el administrador de una red corporativa: uno de los trabajadores de una empresa instala el conocido programa de intercambio de ficheros eMule (el sistema se lo permite), se conecta a Internet con él para bajar ficheros (la Red se lo permite) y para colmo, pone a compartir no sólo un directorio, sino todo el disco duro… Incluida una base de datos con 20.000 registros con datos personales de funcionarios que habían participado en unos cursos de formación, entre los que estaban el DNI, su nombre y apellidos, su dirección, o su puesto.
El caso, aun siendo estrafalario, es tan real como la sanción que la Agencia de Protección de Datos (APD) ha impuesto a la Federación de Servicios y Administraciones públicas de CCOO, de la que salieron los datos, por incumplir su deber de custodiarlos a buen recaudo. Y lo que es más curiososo, no es aislado: la APD tiene abiertas otras 16 investigaciones por hechos similares.
Habitualmente, las organizaciones restringen a sus trabajadores la capacidad para instalar programas en los equipos que usan, y en cualquier caso, controlan el uso que se haga de esos programas a la red mediante aplicaciones y equipos conocidos como ‘Firewalls’ o cortafuegos. En este caso, ninguna de las dos medidas estaban en vigor. El descuido del empleado hizo el resto, ya que a la hora de seleccionar qué archivos quería compartir, puso a disposición de cualquier usuario de eMule todos los archivos de su equipo, cuando lo normal es indicar una carpeta específica.
En su argumentación jurídica, la APD concreta que esta Federación cometió una infracción grave de la Ley Orgánica de Protección de Datos, al incumplir la obligación, establecida en el artículo 9 de esa norma, de adoptar las medidas de seguridad necesarias para impedir el acceso a los datos personales contenidos en ficheros por parte de terceros no autorizados.
Eso sí, en su resolución, la Agencia afirma que «hay que considerar que la FSAP-CCOO, con objeto de remediar en el futuro la conducta imputada, no se ha limitado a la estricta elaboración del preceptivo ‘Documento de Seguridad’, sino que ha desarrollado una extensa actividad para evitar la comisión de infracciones en matera de protección de datos de carácter personal, impartiendo instrucciones a las distintas unidades y federaciones que la integran».