En resumen, se entiende que la denunciada ha infringido el deber de secreto que establece el Artículo 10 – LOPD – Deber de Secreto al enviar un correo electrónico a 42 destinatarios distintos e incluir las direcciones de e-mail en el campo “Copia Carbón(CC)” dejando, por tanto, visibles a todos los destinatarios las direcciones de correo electrónico de los receptores. A juicio de la AEPD, ha supuesto una vulneración del deber de sigilo, pues no debería haber dado a conocer las direcciones de correo electrónico al resto de destinatarios; es decir, debería haber utilizado la opción “Copia de Carbón Oculta” (CCO).

Quiero que hagamos un análisis hasta acá, que seguro será el mismo que hice yo al leer el título de la noticia: qué excelente decisión, ¿no? Digo, tantos años venimos pidiendo a los usuarios que utilicen la copia oculta, que no sean tontos, que escuchen a los que concientizan en seguridad, que seguro nos da algo de alivio ver que alguien por fin tiene cordura y castiga al que expone la información de otro. Después podemos discutir si la sanción es desmedida (a mi criterio lo parece) pero al menos para mí me resultó gratificante. Pensé: qué bueno, por fin se combate la estupidez.

Si seguimos leyendo la nota, nos enteramos que el acusado alegó que la dirección de correo que utilizó se podía obtener en Internet, por lo que él no había brindado a nadie información que no pudiera obtenerse por otro medio público. Sin embargo, se resolvió la culpabilidad y multa de más de 600 euros. ¿Por qué? ¿No se tuvo en cuenta esta información brindada por la defensa?

Sí se tuvo en cuenta lo que dijo la defensa, pero el artículo 3.a de la LOPD (Ley Orgánica de Protección de Datos) define que la dirección de correo electrónico es un dato personal. Es decir, es LA LEY la que por encima de toda lógica o análisis nuestro termina definiendo en la justicia.
Esto remarca algo que en materia de seguridad se viene hablando hace mucho: la falta de legislación (o la existencia de ella en mala calidad) es uno de los problemas más importantes que enfrenta la comunidad de la seguridad de la información.

Si no hay legislación, no hay forma de ajusticiar los incidentes en seguridad, y de eso se trata. Lamentablemente (sí!), nuestro sentido común no nos permite hacer justicia, sino que necesitamos legislación. Y en materia de seguridad falta. Y mucho. El camino parece ir funcionando, de a poco, pero la realidad es que la mayoría de los paises todavía carecen de legislación y a muchos otros les falta aún madurarlas en la materia.

Sin ir más lejos, en países como el nuestro todavía es imposible culpar a alguien por enviar spam. Estamos hablando de cosas banales (spam, copia oculta), imaginemos lo difícil que puede ser ajusticiar por un grave incidente en seguridad, un fraude informático o un robo de información.
La realidad es que en legislación en seguridad todavía estamos reprobados, particularmente en América Latina, y creo que la comunidad debería preocuparse con especial atención en este punto.

Fuente: Un Mundo Binario y Samuel Parra