Encima de eMule, apaleada
El escenario no puede ser más desolador para el administrador de una red corporativa: uno de los trabajadores de una empresa instala el conocido programa de intercambio de ficheros eMule (el sistema se lo permite), se conecta a Internet con él para bajar ficheros (la Red se lo permite) y para colmo, pone a compartir no sólo un directorio, sino todo el disco duro... Incluida una base de datos con 20.000 registros con datos personales de la plantilla, entre los que estaban el DNI, su nombre y apellidos, su dirección, o el puesto que ocupaban en la empresa.
El caso, aun siendo estrafalario, es tan real como la sanción que la Agencia de Protección de Datos (APD) ha impuesto a la empresa de la que salieron los datos por incumplir su deber de custodiarlos a buen recaudo. Y lo que es más curiososo, aunque ha sido la primera vez que la APD sancionaba a una entidad por estos hechos, no se trata ni mucho menos de un caso aislado, ya que afirma tener abiertas otras 16 investigaciones por hechos similares.
Habitualmente, las empresas restringen a sus trabajadores la capacidad para instalar programas en los equipos que usan, y en cualquier caso, controlan el uso que se haga de esos programas a la red mediante aplicaciones y equipos conocidos como 'Firewalls' o cortafuegos. En este caso, ninguna de las dos medidas estaban en vigor. El descuido del empleado hizo el resto, ya que a la hora de seleccionar qué archivos quería compartir, puso a disposición de cualquier usuario de eMule todos los archivos de su equipo, cuando lo normal es indicar una carpeta específica.
En su argumentación jurídica, la APD concreta que la entidad sancionada cometió una infracción grave de la Ley Orgánica de Protección de Datos, al incumplir la obligación, establecida en el artículo 9 de esa norma, de adoptar las medidas de seguridad necesarias para impedir el acceso a los datos personales contenidos en ficheros por parte de terceros no autorizados.