Hola de nuevo!
Esta entrada se merece su entrada triunfal y a hombros en la sección de "Resoluciones Curiosas de la AEPD". Alguna vez he comentado que la web de la AEPD es imprescindible para cualquier profesional que se dedique a esto de la protección de datos; a mí personalmente muchas resoluciones (siento decir que muchas de ellas sancionadoras), me han orientado a la hora de afrontar determinadas situaciones cuyo encuadre a efectos de la LOPD puede presentar dificultades. De vez en cuando procuro entrar a consultar alguna resolución o informe para estar un poco actualizada y aprender.
Pues bien, en uno de esos ratos de consulta, me he encontrado con una resolución que me parece digna de comentar aunque sea un poco por encima (ya sabéis que este blog no pretende ser un referente técnico). Son 40 hojas de resolución en las que casi cada página te deja flipando con todo lo que la AEPD hace para estudiar el caso y la entidad sancionada intenta evadir la multa y explicar su "modus operandi". La resolución es esta. Voy a intentar resumirla para explicar un poco de qué va y por qué me parece una resolución de lo más friki!
1) ¿De qué va la resolución? ¿Cómo surge?
El caso es el siguiente: El denunciante acude a la AEPD porque considera que los datos que contiene su tarjeta "contactless" pueden ser accedidos fácilmente y a distancia (Si no sabes que es una tarjeta de este tipo, pincha aquí; enlazo con la web de la OCU para que la explicación no se te haga tediosa). Este misterioso denunciante aporta una captura de pantalla de una posible demostración del acceso a determinados datos del titular de la tarjeta y un documento llamado “Consulta relativa a la posible responsabilidad legal en el uso de chips RFID en tarjetas de pago bancarias”. Ya en este punto, la denuncia es muy curiosa, ¿no creeis?
2) ¿Qué hace la AEPD?
Ponerse "manos a la obra": Solicita a la entidad bancaria en cuestión que expida una tarjeta de este tipo a nombre de un usuario ficticio y que realice los procedimientos que haría con un cliente normal (alta en su base de datos, asignación de crédito...). La verdad es que recibir una llamada de la AEPD pidiéndote algo así ya es para temblar cuanto menos.
La AEPD empieza a hacer sus pruebitas para ver cómo funciona la tarjeta, y solicita a la entidad más información. En uno de estos documentos aportados la propia entidad reconoce que en un informe del año 2012 se contemplaba la “posibilidad de lectura en claro de los datos del Nombre del Titular de la tarjeta” (vaya, parece que nuestro misterioso denunciante no iba muy desencaminado). Debido a esto, se hicieron algunos cambios a partir de 2014 con el fin de que se evitara este problema.
Tras todo este proceso, la AEPD inicia procedimiento sancionador basado en el art.9 de la LOPD).
3) ¿Qué alega la entidad sancionada?
Son varias cosas las que presenta como alegaciones: desde que las pruebas practicadas por la AEPD no son exactas ya que no se han usado los protocolos y aplicaciones que se usan normalmente para la expedición y gestión de las tarjetas hasta indicar que la entidad sancionada no es responsable de la seguridad de la tarjeta (estableciendo, textualmente que "El titular del instrumento es convenientemente advertido, en el contrato que suscribe, que adquiere la condición de responsable de la conservación y uso correcto de a tarjeta, por lo que debe ser el titular del instrumento el responsable de adoptar aquellas medidas adecuadas para evitar alteración, pérdida, tratamiento o acceso no autorizado").
Y finalmente..
La AEPD sanciona a la entidad con 80.000 euros y se basa, entre otras cosas, en que "(...) la infracción se produce por una falta de medidas de seguridad,y no por un fallo puntual de las que hubiesen adoptado".
Y hasta aquí el post de hoy; espero que estéis pasando un gran verano y que os haya parecido interesante.
Hasta la próxima!
