El uso del eMule por un empleado de CC OO filtra 20.000 datos personales

Nombre, apellido, domicilio, DNI, enfermedad..., los datos de 20.000 funcionarios circularon durante cinco meses por la red de intercambio de archivos eMule en 2004. La fuente de información era un ordenador de la Federación de Servicios y Administraciones Públicas de Comisiones Obreras. El sindicato ha sido multado por la Agencia de Protección de Datos con 6.000 euros. Hay 16 expedientes similares en marcha sobre otras entidades.

Por regla general, las organizaciones y compañías impiden a sus empleados que instalen programas en los ordenadores que usan en su puesto de trabajo. Los administradores del sistema informático deciden qué se instala en cada máquina y protegen los equipos conectados a Internet mediante cortafuegos para evitar entradas y salidas de información no deseadas.

Cuando en mayo de 2004 se denunciaron los hechos, la Federación de Servicios y Administraciones Públicas de Comisiones Obreras (FSAP-CC OO) "aún no había implantado todas las medidas de seguridad" que exige la Ley de Protección de Datos, vigente desde 1999.

En ese contexto, un trabajador de la Federación instaló el programa eMule en su ordenador para intercambiar archivos a través de Internet. Pero cometió un error: en lugar de compartir unos directorios concretos -música, por ejemplo- puso inadvertidamente todo el disco duro a disposición de los usuarios de eMule, incluidos los dos ficheros con datos personales.

Entre enero y mayo de 2004, un agente de la policía local de Ourense (Galicia) detectó que circulaban esos dos ficheros en la popular red de intercambio de archivos P2P. El policía informó a la Comandancia de la Guardia Civil y a la Comisaría Provincial de Policía de Ourense que, a su vez, denunciaron los hechos a la Agencia Española de Protección de Datos (AEPD). En los dos ficheros aparecían más de 20.000 registros con datos personales de trabajadores -DNI, nombre, apellidos, dirección, teléfono, domicilio, puesto y lugar de trabajo...- que habían participado en cursos de formación organizados por la FSAP-CC OO, entre ellos los del policía de Ourense que denunció los hechos.

La AEPD considera probado que FSAP-CC OO cometió una infracción "grave" de la Ley Orgánica de Protección de Datos, "al incumplir la obligación de adoptar medidas de seguridad para impedir el acceso a los datos personales contenidos en ficheros por parte de terceros no autorizados" (artículo 9). Sin embargo, la Agencia reduce la multa a 6.000 euros al considerar que desde que ocurrieron los hechos la Federación no se ha limitado al cumplimiento de las medidas de seguridad obligatorias, sino que ha desarrollado una extensa "actividad formativa" de su personal para evitar que se repita en el futuro. Además, el segundo de los delitos que se le imputaban prescribió.

Carlos Rodríguez, jefe del gabinete jurídico de la Federación, explica que "fue una imprudencia, pero no hubo lucro personal ni maldad por parte de la organización". Es decir, que no hubo intencionalidad. Por no haber, no hubo ni conocimiento de causa: el trabajador responsable de la "imprudencia" no supo hasta que la Agencia de Protección de Datos inició el expediente sancionador que había colgado en Internet los datos personales de 20.000 personas. Hoy, asegura Rodríguez, "todo está supercontrolado".

Se trata de la primera sanción de la AEPD por el uso de eMule, pero no será la única: hay abiertas otras 16 investigaciones a entidades por la filtración de datos en Internet mediante el uso de programas de intercambio de archivos.