Anexo XVII

Caso práctico sobre las

infracciones y sanciones
de la LOPD

Álvaro Gómez Vieites

 CONTENIDO

INFORMACIÓN SOBRE LAS EMPRESAS “MUEBLIBAÑO” Y “MUEBLICOCINA” .................... 1

PREGUNTAS SOBRE EL CASO ............................................................................................ 4
SOLUCIÓN PROPUESTA ..................................................................................................... 5
 ANEXO XVII

CASO PRÁCTICO SOBRE LAS

INFRACCIONES Y SANCIONES DE LA LOPD

Se presenta en este apartado un caso práctico preparado por el autor para

analizar el régimen de infracciones y de sanciones aplicables en caso de
incumplimiento de algunos de los preceptos de la LOPD. Se trata de un caso
inventado, en el que se incluyen datos totalmente ficticios sobre empresas y personas
físicas1, pero que se basa en otros ejemplos reales de sanciones impuestas en estos
últimos años por la Agencia de Protección de Datos en España.

INFORMACIÓN SOBRE LAS EMPRESAS “MUEBLIBAÑO”

Y “MUEBLICOCINA”
Doña Elisa Fernández creó hace 15 años en Vigo una pequeña empresa
familiar, “Mueblibaño, S.L.”, dedicada a la comercialización e instalación de muebles
de baño. El crecimiento de su negocio en estos últimos años le animó a poner en
marcha una nueva actividad en el año 2003 dedicada a la comercialización e
instalación de muebles de cocina, y por motivos fiscales decidió hacerlo creando una
nueva sociedad limitada con su propio CIF, denominada “Mueblicocina, S.L.”.

Las dos sociedades comparten las instalaciones, el personal (los empleados

están contratados por las dos sociedades), así como todos los recursos informáticos y

1
Cualquier parecido con la realidad es mera coincidencia.
2 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

aplicaciones informáticas de la empresa. No obstante, conviene destacar que a efectos

legales se trata de dos personas jurídicas distintas (cada una con su propio CIF), por lo
que en lo sucesivo las trataremos como dos empresas que configuran un grupo
empresarial.

Tras haber leído alguna noticia sobre la necesidad de proteger los datos
personales y la severidad de las sanciones impuestas en España por la Agencia
Española de Protección de Datos, la gerente de estas dos empresas decidió interesarse
por el tema y encargó a uno de sus empleados que realizase los trámites para cumplir
con los requisitos formales exigidos por la Ley Orgánica de Protección de Datos.

De este modo, el empleado responsable de esta tarea procedió a inscribir en el

Registro General de Protección de Datos los ficheros de clientes y de proveedores de
las empresas “Mueblibaño, S.L.” y “Mueblicocina, S.L.” a principios del año 2003. La
gerencia consideró que no sería necesario inscribir más ficheros, ya que los datos de
los empleados para la confección de las nóminas estaban en poder de la asesoría
laboral “Labora, S.L.”, a la que se había subcontratado dicho trabajo.

No obstante, los datos necesarios para la confección de las nóminas, así como
la información sobre los porcentajes de retención del I.R.P.F. a practicar a cada
empleado en función de su situación personal y familiar (uno de los empleados de
estas empresas presenta una pequeña discapacidad, que debe ser tenida en cuenta para
el cálculo del porcentaje de retención del I.R.P.F.) son enviados por correo electrónico
a la asesoría laboral, en un fichero de Excel sin encriptar.

Por otra parte, en algunos de los proyectos realizados, y con el fin de

transmitir una mayor confianza de cara al cliente, la gerencia adoptó la política de
presentar una breve reseña curricular de cada uno de los empleados que participarían
en la instalación, adaptación y montaje de los muebles, destacando su formación y
años de experiencia en el sector.

Para poder dar a conocer los productos de sus empresas a un mayor público
objetivo, en noviembre de 2004 la gerencia decide poner en marcha un nuevo Website
para las dos empresas, ofreciendo nuevos servicios a sus clientes y potenciales
clientes. De este modo, se incorpora un vistoso catálogo con amplia información sobre
los distintos productos ofrecidos, destacando la calidad y esmerado cuidado en el
proceso de instalación y montaje. Para ello, y con objeto de ganar la confianza del
potencial cliente, se incluyen fotografías de los empleados en la ejecución de distintos
proyectos de montaje de muebles.

En este Website también se incluye un interesante servicio para los clientes

que han solicitado un presupuesto a alguna de las dos empresas, consistente en el
acceso mediante un nombre de usuario y una contraseña a una zona restringida con
información sobre sus presupuestos y el seguimiento del estado de sus pedidos
(cuándo se instalarán los muebles, en qué situación se encuentra cada una de las partes
del pedido, cuál ha sido el presupuesto finalmente aceptado, etcétera).
© RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 3

Para informar de la existencia de este nuevo Website, la gerencia decide llevar

a cabo un mailing a todas las personas que tiene registradas como clientes en la base
de datos compartida por las dos empresas. La carta será remitida en nombre de las dos
empresas (figurarán los logos y los datos de identificación de ambas empresas), y
además se incluirá en el texto información detallada relativa a los proyectos que se
realizaron en su día para cada uno de los clientes.

Por otra parte, la gerencia encarga a uno de sus empleados que prepare un
nuevo listado de potenciales clientes de determinadas calles de Vigo donde se han
construido recientemente nuevos edificios y bloques de viviendas, para que también se
pueda enviar información personalizada a cada una de estas personas que podrían estar
interesadas en los productos ofrecidos por “Mueblibaño” y “Mueblicocina”. Para ello,
el empleado accede a un directorio telefónico informatizado del año 2002 y selecciona
más de 200 personas que figuran como residentes en las calles propuestas por la
gerencia.

Sin embargo, una vez realizado el mailing a la base de clientes compartida por
las dos empresas, así como al listado obtenido de potenciales clientes extraído del
directorio telefónico del año 2002, la empresa recibe una comunicación de la Agencia
de Protección de Datos en la que se le informa que se han recibido sendas denuncias
en este organismo por un tratamiento de datos no consentido, realizadas por dos
personas destinatarias del mailing. Tras realizar las oportunas averiguaciones, resulta
que una de estas personas es un antiguo cliente que quedó descontento con la
instalación y montaje de los muebles en un proyecto realizado hace un par de años,
mientras que el otro denunciante es una de las personas seleccionadas a través del
listín telefónico, que se había dado de baja del mismo en el año 2003 para no recibir
publicidad.

La situación se complica para “Mueblibaño” y “Mueblicocina” por un grave

problema de seguridad en su Website. Por desconocimiento y un cierto desinterés del
responsable de informática de estas dos empresas, propiciado en parte porque la
gerencia tampoco concede ningún valor a este tipo de actividades (“es un gasto poco
útil para nuestra empresa, que no contribuye a mejorar las ventas ni la relación con
nuestros clientes”) no se han venido actualizando los parches de seguridad publicados
por Microsoft y otros fabricantes de software.

Por ello, el servidor Web de la empresa presenta un importante agujero de

seguridad, que fue aprovechado por un hacker para tomar el control de este servidor y
facilitar el acceso sin ningún tipo de restricción a sus contenidos a cualquier usuario de
Internet. Como consecuencia de este problema de seguridad, los datos de los clientes y
de los proyectos en curso estuvieron abiertos en Internet y al alcance de cualquier
usuario de la Red. Este grave problema de seguridad desemboca en una inspección de
oficio por parte de la Agencia de Protección de Datos, debido a que la noticia sobre el
incidente de seguridad se publica en un medio de comunicación local.

Por último, un ex-empleado de “Mueblibaño” y “Mueblicocina” también

decide presentar una denuncia ante la Agencia de Protección de Datos por haber sido
4 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

incluida su foto en el catálogo Web de estas dos empresas, y haber sido entregada una
reseña de su currículum vitae como parte de la información incluida en la oferta
presentada a diversos clientes de estas empresas.

La inspección llevada a cabo por la Agencia de Protección de Datos pone de

manifiesto que en los impresos en papel y formularios Web donde se recaban datos de
carácter personal no se informa a los interesados de que sus datos personales van a ser
sometidos a un tratamiento informático por parte de alguna de las dos empresas del
grupo.

Asimismo, se constata en esta inspección que no existe un registro de

incidencias ni un registro de entradas y salidas de soportes, y que apenas se han
implantado medidas de seguridad lógica en la red local de estas dos empresas (control
de accesos a las carpetas y los ficheros). Por otra parte, se ha descuidado totalmente la
política de contraseñas, hasta el punto de que varios usuarios comparten la misma
contraseña o conocen la de sus compañeros para poder acceder a sus equipos
informáticos.

PREGUNTAS SOBRE EL CASO

A la vista de los hechos anteriormente expuestos, se pide al grupo de trabajo
resolver las siguientes cuestiones:

1. Identificar las distintas infracciones cometidas por estas dos empresas, de

acuerdo con lo dispuesto en la Ley Orgánica de Protección de Datos.

2. Determinar la cuantía de las sanciones que impondría la Agencia Española

de Protección de Datos como consecuencia de las infracciones anteriormente
señaladas, considerando que, por tratarse de la primera vez que se sanciona a estas dos
empresas y que el volumen de datos personales afectados no fue muy elevado, la
Dirección de la Agencia decidiese aplicar las sanciones mínimas previstas por la
LOPD para cada tipo de infracción.
© RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 5

SOLUCIÓN PROPUESTA
Infracciones cometidas por cada una de estas dos empresas:

‰ No se inscribe el fichero de nóminas en el RGPD. Este fichero incluye

datos de nivel alto (información sobre posibles minusvalías a efectos
del cálculo de la retención del IRPF de los trabajadores de la empresa).
La infracción se considera leve => Sanción aplicable: 601 €.

‰ Incumplimiento de las Medidas de Seguridad:

¾ Los datos con la información necesarios para la confección de las

nóminas se envían sin encriptar a la asesoría laboral.

¾ La empresa no ha tenido en cuenta la adecuada configuración y

revisión de los parches de seguridad de su servidor Web, y como
consecuencia los datos de los clientes quedan expuestos durante
unas horas en Internet al alcance de cualquiera que los desee
consultar.

¾ No se ha realizado un contrato con la asesoría laboral en el que se

incluyan las cláusulas exigidas por la LOPD para garantizar la
adecuada protección de los datos personales objeto de un
tratamiento por cuenta de un tercero.

¾ No existe un registro de incidencias ni un registro de entradas y

salidas de soportes, y apenas se han implantado medidas de
seguridad lógica en la red local de estas dos empresas (control de
accesos a las carpetas y los ficheros).

¾ Se ha descuidado totalmente la política de contraseñas.

¾ Por todas estas circunstancias, la infracción se considera grave

=> Sanción aplicable: 60.101 € (aunque el cúmulo de
circunstancias que concurren en este caso particular podría ser
tenido en cuenta para elevar la cuantía de la sanción finalmente
impuesta).

‰ Se produce una cesión de datos de clientes de la empresa 1 a la empresa

2, sin que exista un consentimiento por parte de las personas afectadas.

¾ De hecho, dado que ambas comparten la misma base de datos de

clientes, la empresa 2 realiza un mailing a clientes pertenecientes
a la empresa 1 (sin que estos clientes hayan dado su
consentimiento para que se pueda producir tal cesión de datos).
6 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

¾ La infracción se considera muy grave => Sanción aplicable:

300.506 €.

‰ En la campaña de lanzamiento del Website de la empresa 1 se lleva a

cabo un mailing a un listado de clientes de la empresa y a un listado de
clientes de la empresa 2.

¾ Los datos de clientes de la empresa 2 están siendo tratados por la

empresa 1 sin haber recibido su consentimiento expreso.

¾ La infracción se considera grave => Sanción aplicable: 60.101

€.

‰ Para completar el mailing citado en el párrafo anterior, se emplea un

listado de potenciales clientes extraído de un directorio telefónico del
año 2002.

¾ Dado que el listado procede de un directorio telefónico de hace un

par de años, y ya se han publicado directorios actualizados desde
entonces, ha perdido su carácter de fuente de acceso público.

¾ Por ello, el tratamiento de los datos de las personas que no figuren

en el directorio telefónico actualizado se considera un tratamiento
de datos no consentido (como es el caso para el ciudadano que se
dio de baja del directorio en el año 2003, y que ha presentado la
denuncia en la Agencia de Protección de Datos).

¾ La infracción se considera grave => Sanción aplicable: 60.101

€.

‰ El Website de la empresa incluye fotografías de la oficina y del

almacén, así como algunas fotografías de los empleados claramente
identificados trabajando. Por otra parte, se ha incluido una reseña
curricular de los empleados en algunas de las ofertas presentadas a los
clientes de la empresa.

¾ Nuevamente se trata de un tratamiento de datos no consentido por

el interesado, que excede de lo estrictamente necesario como
consecuencia de la relación laboral.
© RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 7

¾ La infracción se considera grave2 => Sanción aplicable: 60.101

€.

‰ Por último, la empresa no ha venido informando a los clientes y

potenciales clientes que sus datos personales iban a ser sometidos a un
tratamiento informatizado, tal y como exige la LOPD.

¾ En este caso se trata de una infracción leve => Sanción

aplicable: 601 €.

2
La entrega de la reseña curricular a los clientes también podría ser considerada una
cesión de datos no consentida, por lo que en ese caso estaríamos ante una infracción muy
grave.
8 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

Procedimiento sancionador contra la empresa “Mueblibaño”:

Infracción 1: no inscripción de un fichero de datos personales 601 €

de nivel alto
Infracción 2: incumplimiento de las medidas de seguridad que 60.101 €
toda organización con ficheros de datos de carácter personal
deben implantar
Infracción 3: cesión de datos de clientes a la empresa 300.506 €
“Mueblicocina” no consentida por los interesados
Infracción 4: tratamiento no consentido de datos de clientes de 60.101 €
la empresa “Mueblicocina”
Infracción 5: tratamiento no consentido de datos de personas 60.101 €
que ya no figuran en una fuente accesible al público
Infracción 6: tratamiento no consentido de datos de los 60.101 €
empleados, que excede de lo estrictamente necesario por la
relación laboral existente
Infracción 7: incumplimiento del deber de información 601 €
TOTAL 542.112 €

Procedimiento sancionador contra la empresa “Mueblicocina”:

Infracción 1: no inscripción de un fichero de datos personales 601 €

de nivel alto
Infracción 2: incumplimiento de las medidas de seguridad que 60.101 €
toda organización con ficheros de datos de carácter personal
deben implantar
Infracción 3: cesión de datos de clientes a la empresa 300.506 €
“Mueblibaño” no consentida por los interesados
Infracción 4: tratamiento no consentido de datos de clientes de 60.101 €
la empresa “Mueblibaño”
Infracción 5: tratamiento no consentido de datos de personas 60.101 €
que ya no figuran en una fuente accesible al público
Infracción 6: tratamiento no consentido de datos de los 60.101 €
empleados, que excede de lo estrictamente necesario por la
relación laboral existente
Infracción 7: incumplimiento del deber de información 601 €
TOTAL 542.112 €