eMule es uno de los software libres más populares para intercambio de archivos con sistema P2P.  Su configuración por defecto comparte exclusivamente los ficheros que tengamos en determinada carpeta, pero cualquier error (relativamente frecuente, como se verá mas adelante) puede hacer que sean también accesibles desde internet el resto de carpetas de un disco duro, entre ellas por supuesto aquellas que incluyan ficheros con datos personales. Este grave error en la gestión de la información puede suponer sanciones de la Agencia Española de Protección de Datos (AEPD) de gran cuantía, debido a la especial repercusión que tiene una fuga de datos en internet.

Veamos algunos ejemplos.

Procedimiento Nº PS/00379/2010. La AEPD localizó en la red de compartición de ficheros Emule un fichero en formato Excel denominado “Paciente.xls” con los datos de 3.187 pacientes entre los que se incluyen: Número de historia clínica, nombre y apellidos, NIF, dirección postal, número de teléfono, fax y móvil, fecha de nacimiento, lo que parecen ser fechas de primera y última cita, alergias y un campo de observaciones. El dentista responsable fue sancionado con 6.000 € de multa por infracción del artículo 9.1 (seguridad de los datos).

Procedimiento Nº PS/00059/2008. La Policía Local de Ourense encontró en una red de intercambio de ficheros accesible desde Internet (entorno compartido “Emule”), un fichero con datos de carácter personal correspondiente a un centro médico que incluía once mil trescientos registros asociados a pacientes y su historia clínica, de los que más de cuatro mil se refierían a consultas de interrupción voluntaria del embarazo.  Multa de 150.000 € infracción muy grave del artículo 10 de la LOPD.

Procedimiento Nº PS/00317/2007. En este caso se trata de un abogado al que se le “escapó” un archivo con datos de más de 1500 clientes. Según manifestó “en modo alguno ha existido voluntariedad en cuanto a tal compartición. En efecto, dicha base de datos, -una copia antigua de la que utiliza el despacho-, era utilizada por el personal del despacho como “agenda” para la remisión de la correspondencia usual del despacho, y por error humano, debido a la escasez de conocimientos informáticos del usuario y al parecer en un movimiento de “arrastrar y copiar”, fue copiada en una carpeta temporal que se encontraba en otra que a su vez era compartida por el programa P2P. Es de decir que inmediatamente que se tuvo conocimiento de esta circunstancia ha sido subsanado el error.” Por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, la AEPD sanciona con una multa de 3.000 € (tres mil euros).

Procedimiento Nº PS/00192/2008.  La AEPD recibe una denuncia de la Policía Local de Ourense donde se pone de manifiesto la publicación, a través de Internet de un fichero denominado “Datos.mdb” que contiene entre otra información datos personales de clientes y vendedores de una empresa. Curiosamente el programa eMule se encontraba instalado exclusivamente en un equipo, el del responsable de informática, sin acceso al servidor o a los demás equipos de la red. Sanción de 6.000 € por infracción del artículo 9.1 de la LOPD.

Procedimiento Nº PS/00532/2008. Se trata de un caso en el que el gerente de una sociedad de cazadores (al parecer sin permiso de ésta) preparó una base de datos en su ordenador portátil, que más tarde apareció en la red.  Sanción de 6.000 € por infracción del artículo 9 LOPD.

Procedimiento Nº PS/00515/2008. En este caso, Dña GGG, de profesión doctora, hizo una copia de seguridad de sus ficheros en un dispositivo USB, que se llevó a su casa para seguir trabajando en ellos. Aseguró que este fichero “se encontraba ubicado en una carpeta comprimida y protegida con contraseña, en un disco duro externo no conectado directamente con el ordenador que contenía el programa eMule …. se trata de una carpeta no compartida, y el hecho de que se compartiera a través de eMule fue sin duda un lamentable error involuntario e inexplicable”. Pero lo cierto es que el tal fichero apareció en la red, procedente de la IP de su domicilio, lo que le supuso una sanción de 6.000 € por una infracción del artículo 9.1 de la LOPD.

Procedimiento Nº PS/00601/2008. De nuevo tras denuncia presentada por la Policía local de Ourense, quedó probado que en el eMule aparecían distintos ficheros con datos de carácter personal supuestamente relativos a titulares de viviendas de la ciudad de Alicante, que incluían datos personales relativos a: propiedad, nombre, apellidos, dirección postal, teléfono, forma de pago, código de banco, cuenta de pago (20 dígitos), datos del pagador (nombre, apellidos, dirección postal y teléfono), coeficientes y cuotas. Constaba información de más de 6.000 personas. La empresa alegó que el origen de la incidencia era que un empleado se llevó trabajo a su domicilio particular. La AEPD desestimó (como en otras ocasiones) tal alegación y sancionó a la empresa con 6.000 € por infracción del artículo 9 LOPD.

Habida cuenta de la variedad de tipología de los casos vistos, nuestro único consejo es: mantenga el eMule y otros programas de intercambio de archivos lejos de ordenadores con uso profesional.

Sanciones por datos compartidos en eMule
Vota este artículo

Comments are closed.