Asociación de Internautas

LA AGENCIA DE PROTECCIÓN DE DATOS SANCIONA A TELEFÓNICA
 

Como se recordará, a finales de febrero de este año la Agencia de Protección de Datos instruyó de oficio expediente sancionador contra Telefónica de España, S.A., con ocasión de varias noticias aparecidas en la prensa y asimismo denunciadas por esta Asociación sobre la posibilidad de acceder a los datos personales de cualquier cliente de esta empresa a través de una dirección de Internet. (No confundir con el caso de Terra).

En el día de hoy se ha recibido en la Asociación de Internautas, resolución que pone fin al procedimiento sancionador y agota la vía administrativa, por lo que contra la misma sólo cabe Recurso Contencioso Administrativo ante la Audiencia Nacional o potestativamente Recurso de Reposición ante la propia Agencia.

En esta resolución, el Director General de la Agencia de Protección de Datos sanciona a Telefónica de España, S.A. con una multa de 10.000.000 de pesetas por considerar los hechos constitutivos de una infracción del artículo 9 de la citada LOPD, tipificada como grave en el artículo 44.3h).

 Considera probado la Agencia que:

  .- Telefónica dispone de un sistema externo (para abonados, con clave) y de otro interno (para su personal), de acceso a los datos de facturación de sus clientes.
  .- Durante varios días el directorio de navegación donde se recogía la existencia de la página para accesos internos figuró visible y accesible desde Internet.
  .- A través del sistema interno, el día 25 de febrero de 2000 se produjeron 829 accesos no autorizados a los datos de facturación de los abonados a Telefónica de España, S.A. y el día 28 de febrero de 2000, 6.330 (entre estos últimos se incluyen los accesos del personal de Telefónica)
  .- Es posible que antes del día 25 se hubiesen producido otros accesos indebidos, de los que no hay constancia.
  .- Por medio de estos accesos se ha conseguido conocer por personas no autorizadas datos como: nombre del titular, domicilio, importe, domiciliación bancaria y detalle de llamadas con las tres últimas cifras del número ocultas, datos de las últimas seis facturas anteriores, sin detalle de llamadas y al importe acumulado de la factura en curso.
  .- No existía ningún sistema de control ni mecanismos de autenticación del usuario, para el acceso interno, al encontrase éste en fase de validación.

Visto todo ello, esta Asociación considera manifiestamente insuficiente que hechos como los que se acaban de describir, terminen con una sanción que podríamos calificar de irrisoria, si tenemos en cuenta el potencial de la compañía sancionada. 

Tampoco entendemos como es posible que una infracción grave, como la que nos ocupa, para la que el artículo 45.2 de la LOPD, prevé una sanción de multa de 10 a 50 millones de pesetas, se castigue con el mínimo permitido, máxime cuando el apartado 4 del mismo artículo reza “La cuantía de las sanciones se graduará atendiendo a la naturaleza de los  derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”

Es de todo punto evidente que la naturaleza de los datos conocidos, el volumen de afectados y el daño causado, deberían haber determinado una sanción, cuando menos, distinta a la mínima prevista, aunque en todo caso hubiera sido insuficiente, dado que hablamos del “Goliat” Telefónica, aunque no han de faltar, en este y otros temas, algún que otro aventurero David.