Español | English
rss facebook linkedin Twitter

El "pretexting" en la legislación española (II)

No existen en España obligaciones legales específicas en cuanto a la configuración o calidad de los sistemas de autenticación en la provisión de servicios de atención telefónica, si bien los responsables de ficheros que los provean han de cumplir con el deber de secreto y seguridad exigidos por los artículos 9 y 10 LOPD y con el régimen legal establecido para la satisfacción del derecho de acceso por los titulares de datos personales.

El artículo 15 LOPD establece que el derecho de acceso consiste en "solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos", derecho que si bien "sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto".

La Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación vino a determinar la forma y las condiciones en las que se debía producir el ejercicio de los derecho de acceso, rectificación y cancelación, exigiendo que ha de mediar solicitud dirigida al responsable del fichero por el interesado o persona que legal o voluntariamente la represente, la cual contendrá:

  • Nombre, apellidos del interesado y fotocopia del DNI del interesado y, en los casos que excepcionalmente se admita, de la persona que lo represente, así como el documento acreditativo de tal representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho;
  • Petición en que se concreta la solicitud;
  • Domicilio a efectos de notificaciones, fecha y firma del solicitante;
  • Documentos acreditativos de la petición que formula, en su caso; y
  • El interesado deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud.

En esta misma Instrucción se establece que "el responsable del fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acredite un interés legítimo al efecto", añadiendo tal posibilidad también "cuando la solicitud sea formulada por persona distinta del afectado", a salvo de los casos en que el derecho de acceso pudiese ejercerse por representante legal o voluntario del interesado, casos en los que el responsable del fichero habrá de asegurarse de constatar la realidad de la representación por medio del documento acreditativo correspondiente.

Por otra parte, concreta esta Instrucción la forma de la información que se debe proporcionar al interesado que ha ejercido su derecho de acceso, así como la información que en concreto deba facilitarse al interesado, resultando particularmente gravoso para los responsables de ficheros que exigiera la entrega de "todos" los datos personales tratados, lo cual además de implicar un elevado coste para los responsables de ficheros podía no ser del interés del titular de los datos que tan sólo pretenda acceder a algunos de los datos en poder de aquellos.

Resulta evidente que estos requerimientos en la autenticación de la identidad del interesado que pretende ejercer el derecho de acceso no casa bien con la agilidad que puede ser necesaria, por ejemplo, en la obtención de una copia de una factura telefónica (y no de todos los datos en poder del operador) o con la posibilidad de ejercer el derecho de acceso por medio de servicios de atención telefónica o medios telemáticos dispuestos al efecto.

Ello vendrá a resolverse con la entrada en vigor del Reglamento de la LOPD (RLOPD) puesto que, además de admitir los servicios de atención telefónica como cauces válidos tanto para la emisión de la negativa al tratamiento como para la revocación del consentimiento, el artículo 24.4 reconoce a quienes disponen de este tipo de servicios la posibilidad de conceder a los interesados por este medio el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en cuyo caso dispone además "la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos". Medios que como hemos comentado antes pueden no ser del todo idóneos y estar siendo caldo de cultivo de quienes deseen hacer uso del "pretexting".

Los interesados que ejercieran sus derechos de acceso, rectificación, cancelación y oposición empleando los servicios de atención al cliente quedan excepcionados por el artículo 25.1 RLOPD de enviar comunicación alguna al responsable del fichero, si bien entiendo que ello implica necesariamente que el responsable de fichero deba registrar en sus sistemas los datos identificativos y la petición concreta formulada, así como el domicilio a efectos de notificaciones en caso de que no coincidiera con el domicilio de facturación de los clientes. Si bien es cierto que que cuando fuera necesario los interesados habrán de enviar en cualquier caso los documentos acreditativos de la petición que formulasen los interesados.

El hecho de que no se requiera copia del documento nacional de identidad, pasaporte o documento válido que identifique a quienes ejercen su derecho de acceso por medio de los servicios de atención telefónica deja en manos de la robustez del sistema de autenticación implantado o de la candidez o solidaridad de los teleoperadores el acceso a datos personales de terceros por quienes empleen el "pretexting", incrementado así la probabilidad de que el responsable del fichero en el que obran los datos pueda ser sancionado por vulneración del deber de secreto que le es impuesto por el artículo 10 LOPD y que supone una infracción leve, si bien puede que grave o muy grave dependiendo de los casos, sea dado el sector de las compañías citadas, o por estarse tratando datos de nivel alto o datos que en su conjunto sean suficientes para obtener una evaluación de la personalidad del individuo.

Podría ser mejor que estas compañías que prestan servicios al público en general de especial trascendencia económica derivaran las solicitudes de derechos de acceso, rectificación, cancelación y oposición al "medio de interlocución telemática" basado en el "uso de certificados reconocidos de firma electrónica" que les impone el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Aunque desconozco hasta qué punto este tipo de compañías van a dotarse de este medio de interlocución telemática, puesto que en esta ley no se establece régimen sancionador para el incumplimiento de esta obligación.

Como decíamos en el anterior post el "pretexting" es una práctica habitualmente empleada por detectives privados, aunque puede ser utilizada por cualquiera. Huelga decir que, abstrayéndonos de los casos en los que el atacado fuera una persona jurídica, los datos personales que fueran obtenidos fraudulentamente y las demás informaciones que gracias a ellos se consiguieran habrán de ser apreciadas como nulas por un Juez en caso de que le fueran presentadas como pruebas (art. 11.1 LOPJ). Aparte se daría el hecho de que los detectives privados que hicieran uso de esta técnica podrían ser sancionados por las condiciones ilícitas en que se produce el tratamiento por estos de los datos personales obtenidos por medio del "pretexting".

Pero el "pretexting" no sólo está regulado por la legislación en materia de protección de datos de carácter personal, ya que al mismo tiempo este tipo de prácticas pueden suponer, según los casos (por ejemplo, acceso a datos de una póliza de seguros de salud o de vida) una intromisión ilegítima en el derecho a la intimidad personal y familiar (artículo 7.2 Ley Orgánica 1/1982) e incluso pueden caber en el tipo del delito de descubrimiento y revelación de secretos (Capítulo 1 del Título X del Libro II del Código Penal).


En definitiva, ya sea por el "pretexting" o casi mejor, para asegurarse de realizar un totalmente adecuado tratamiento de los datos personales de su responsabilidad, cualesquiera entidades que ofrecieran servicios de atención telefónica debieran analizar y revisar los procesos de estos servicios a fin de adecuarlos a la legislación en maeria de protección de datos, prestando especial interés principalmente a la robustez y calidad los sistemas de autenticación empleados en estos servicios no presenciales. Es de destacar que aún no habiéndolos mencionado anteriormente, los servicios de atención telefónica de la Administración Pública pueden ser igualmente objeto de ataques de "pretexting" y que en atención al artículo 8.2.c de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, los sistemas de autenticación empleados deberán garantizar la seguridad de las informaciones sobre los ciudadanos a las que se dé acceso por medio de este tipo de servicios.

Álvaro Del Hoyo
Departamento de Consultoría

2 comentarios:

Pablo dijo...

Muy buena reflexión.

Álvaro Del Hoyo dijo...

Gracias Pablo.

Sigo tu blog y en él también he encontrado interesantes reflexiones.

Perdona la tardanza en contestar.

Un saludo


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login