El mal uso de los programas p2p provoca habituales filtraciones involuntarias - Protección de Datos ha abierto 42 procedimientos por casos similares

Los programas de intercambio de archivos no dejan de jugar malas pasadas a los usuarios descuidados. Centenares de expedientes de parejas que querían adoptar a un niño extranjero acabaron en Internet, a la vista de cualquiera, en diciembre de 2007. La Agencia Española de Protección de Datos (AEPD) ha sancionado a la asociación de adopción internacional poseedora de los datos con 6.000 euros por infracción grave.

Son casos que se han vuelto frecuentes. Cada vez más ciudadanos utilizan sistemas p2p (peer to peer, de par a par) como el eMule para compartir canciones, vídeos, películas y todo tipo de archivos. Pero algunos no dominan su uso, se equivocan y ponen a disposición del ciberespacio, por error, bases de datos de las empresas, asociaciones, sindicatos, hospitales o partidos políticos para los que trabajan. La AEPD ha abierto ya 42 expedientes por este tipo de casos. El año pasado, sancionó con 150.000 euros a una clínica de abortos en Bilbao que filtró a Internet información sobre 4.000 pacientes.

El goteo de casos que llegan a la Agencia es incesante, a pesar de que hay una sola persona en España que vigila la Red en busca de filtraciones de este tipo para comunicarlas a la Agencia: un policía local de Ourense que dedica todos sus ratos libres a ser vigilante de la Red.

La asociación de adopción internacional recientemente sancionada, con sedes en Madrid y Castilla-La Mancha, acababa de abrir sus puertas cuando se produjo el error. Estaban elaborando su primera base de datos con las parejas que se habían inscrito para adoptar un niño. Una de las empleadas se guardó el material en un pen drive, para trabajar en casa. En el ordenador de su casa estaba instalado el eMule, apretó la casilla que no era, y los datos acabaron en la Red. Había 336 registros de parejas que querían adoptar niños y de los menores en proceso de adopción, de 15 trabajadores de Castilla-La Mancha -incluyendo sus cuentas bancarias- y de 24 empleados de Madrid.

La presidenta de la asociación se enteró de lo ocurrido, según señala en conversación telefónica, porque se lo comunicó uno de los adoptantes. Puso una denuncia ante la policía y después descubrió que todo había sido culpa de una de sus trabajadoras, que fue despedida. La presidenta dice que, por fortuna, "la asociación estaba comenzando su andadura y los únicos datos que aparecían eran los nombres y apellidos de las personas que querían adoptar". "Si hubiera pasado más tarde, con toda la información que recopilamos, habría sido peor", añade. "Pero hay muy poca información sobre las medidas que deben adoptar las empresas en materia de protección de datos. Los requisitos para abrir una entidad de adopción internacional son muy estrictos. Sin embargo, nadie te dice ni una palabra sobre cómo debes proteger los datos personales que manejas".

Dada la falta de malicia de la asociación, se les impuso una sanción baja, de 6.000 euros. Durante el último año se han dictado numerosas resoluciones con casos parecidos. Han acabado en Internet cuestiones tan dispares como los nombres de 220 socios de un club de caza andaluz; información sobre los 538 clientes de una doctora nutricionista de Pontevedra -incluyendo datos tan indiscretos como el peso, la talla y la circunferencia abdominal del paciente-; las cuentas corrientes de los clientes de un gimnasio gallego; datos de los dueños de una serie de viviendas en Alicante gestionadas por un mismo administrador de fincas, de los solicitantes de unas viviendas de protección oficial y de 40.000 clientes de una operadora de telefonía.

Casi todos los sancionados, en sus alegaciones, hablan de "lamentable", "inexplicable", o "involuntario" error. El director de la Agencia de Protección de Datos, Artemi Rallo, pide a los poderes públicos, a las empresas y a los particulares que se tomen en serio esta cuestión. "Debe evitarse la instalación de estos programas en los ordenadores del puesto de trabajo y controlar que los datos no puedan exportarse. Si los empleados se los llevan a casa, a su ordenador privado, se multiplican los riesgos. Las redes p2p cada vez son más populares pero aún no sabemos cómo manejarlas de forma correcta".

Mónica Ceberio Belaza
ElPais.com