• Pedro Antonio de Alarcón, 34 1º Of. 1 18002 Granada
  • Tels.: 958 250374 | 958 250366
El 20 marzo, 2020

PATRONATO DE LA ALHAMBRA y EL GENERALIFE consigue el archivo del expediente ante la AEPD por una brecha de seguridad

La empresa que daba el servicio de venta de entradas al PATRONATO DE LA ALHAMBRA y EL GENERALIFE consigue el archivo del expediente ante la AEPD por una brecha de seguridad.

Una gran brecha de seguridad que luego no lo ha sido. Y un empresario, muy bien asesorado, que se anticipa ante la inspección de la AEPD. La responsabilidad proactiva y su poder anulador de la infracción y de la sanción.

Siendo ya firme la resolución de archivo (05727/2019), es de agradecer su desarrollado contenido, desde mi punto de vista, por dos razones:

  • Es absolutamente rayano de lo diabólico que el perjudicado, empresario que se juega su prestigio y su “saber-hacer” frente a los hackers cargue con una sanción administrativa, cuando la mayoría de las veces los medios de los piratas son más avanzados, más insistentes y además gozan de anonimato en sus actuaciones. A Dios gracias, ya empezó el antiguo director de la AEDP, José Luis López Calvo, a tomar en cuenta a jurisprudencia de la Audiencia Nacional en el sentido de tener en cuenta la diligencia de los responsables como criterio de exoneración de la responsabilidad, considerando que no concurre culpa cuando existe diligencia previa en la implantación de las medidas de seguridad y una reacción posterior adecuada y este criterio ha sido recogido y mantenido por la actual Directora de la Agencia Española de Protección de Datos, Mar España Martí.
  • Por su contenido, pues debe de quedar para los anales de la defensa en los procedimientos administrativos sancionadores en materia de PD, el contenido y desarrollo del referido expediente, al menos en lo que se reseña en la resolución, y en especial lo relativo al resultado de las actuaciones de investigación:
    • Respecto de la UTE y la Plataforma de venta de entradas.
    • Respecto de la cronología de los hechos y las medidas realizadas para minimizar el impacto de la incidencia.
    • Respecto de los datos afectados.
    • Respecto de las medidas de seguridad implantadas con anterioridad al incidente.

Todo ello ha llevado a la AEPD a concluir:

“En consecuencia, las entidades analizadas han actuado de forma diligente y con intensidad razonable – dado el tipo de ataque profesional, insistente y organizado – para minimizar el impacto de la incidencia de seguridad y han implantado las medidas correctoras para evitar su repetición en el futuro. ….  Por lo tanto, se ha acreditado que la actuación del reclamado como entidad responsable del tratamiento ha sido acorde con la normativa sobre protección de datos personales analizada en los párrafos anteriores.”

Las conclusiones de la AEDP no deben de llegar a engaño, la fundada argumentación, el perfecto y desglosado estado de revista de las alegaciones y pruebas aportadas por las entidades inspeccionadas, ha sido su defensa para el archivo del expediente, que comienza antes de los hechos y es desarrollo del nuevo principio que informa tanto a la protección de datos como a la defensa de la responsabilidad criminal de las personas jurídicas, “la responsabilidad proactiva” o “accountability”.

Nadie ha dicho nada, desde el punto de vista de la Ley de Secretos Empresariales (Ley 1/2019), del hecho de que quedaran al descubierto ciertos datos de las agencias de viajes, cuales son: razón social, CIF/NIF, dirección de correo electrónico, dirección postal, número de teléfono, cuenta corriente y contraseña de acceso con datos de 2017. La afirmación de la AEDP de que los datos fuesen de 2017 lleva consigo que “la contraseña resulte obsoleta e inservible”.

Me viene a la cabeza un libro fabuloso por su proximidad y descripción de Lorenzo Silva denominado “Lejos del Corazón” cuya sinopsis es:

“Un joven de veinticinco años, con antecedentes por delitos informáticos, desaparece en la zona del Campo de Gibraltar. Hay testigos que aseguran haber visto cómo un grupo de hombres lo abordaban en plena calle y lo metían a la fuerza en un coche. Poco después de su desaparición, se reclama por él un abultado rescate en efectivo, que los suyos abonan sin rechistar. Desde entonces, no se vuelve a saber de él, lo que hace pensar que han acabado con su vida.

Tres días después de la desaparición, el subteniente Bevilacqua y la sargento Chamorro reciben el encargo de tratar de esclarecer lo ocurrido. Viajan para ello al Estrecho, donde se encuentran con un microcosmos en el que las leyes son relativas, el dinero negro corre a raudales y su blanqueo es una necesidad cotidiana. Un lugar lejos del corazón de todo donde nada es de nadie y todo puede tomarse, donde nadie mira y nadie ve, y donde, en fin, cualquier cosa es posible.”

Pues la “deepweb” existe y las bases de datos de miles de cuentas corrientes son objeto de compraventa y existe un mercado para ello, pues de otra forma la AEPD no recogería el artificioso y no por ello menos válido argumento de defensa de la entidades inspeccionadas al indicar “se están realizando búsquedas en Internet, en la “deepweb” y en la “darknet” para detectar posibles exposiciones de los datos afectados. Hasta el momento del informe el resultado ha sido negativo”, no será que el referido informe es de un hacker bueno contratado a tal efecto, nos queda la duda, …

No quiero concluir sin dejar evidencia de varias reflexiones finales:

  • El hecho de que el “Patronato de la Alhambra y el Generalife”, al ser administracion publica a los efectos del 31 quinquies del Código Penal, queda exento de responsabilidad criminal como persona jurídica.
  • Igual tenor, salvo un apercibimiento, es la posible resolución que le puede afectar al “Patronato de la Alhambra y el Generalife” que concluya la AEPP en un procedimiento sancionador.
  • Después de elaborar un informe exhaustivo tratando de sistematizar e implementar las “razones imperiosos de interés general” que supusieran una excepción a las recomendaciones y exigencias de la Agencia Andaluza de Defensa de la Competencia en la liberalización y comercialización de la venta de entradas, quedó todo el trabajo en saco roto. Pues la Agencia Andaluza de Defensa de la Competencia impedía reconocer al empresario granadino el garantizar a través de su pernocta la entrada en la Alhambra; no quiero ser mal agorero, pero es un bocado muy apetecible para un hacker un ataque de denegación de servicio (DoS) a la web de ventas de entradas, pero mejor no doy ideas y paso por encima.
  • El nuevo sistema de venta de entradas de la Alhambra es mejor y ha erradicado ciertas “prácticas”, esperemos desaparezca la maldición de la Alhambra en lo que afecta a la venta de entradas, que se repite cada treinta años.    

Ignacio Alba Muñoz

Abogado

BMA, SLP

FavoriteLoadingAñadir a favoritos
Comparte esta noticia
Email this to someone
email
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter