Nintendo Ibérica ha reconocido la sustracción de datos personales -nombre, DNI, código postal, fecha de nacimiento y teléfono- de 4.000 usuarios de una de sus bases de datos relacionadas con actividades de markering. El autor, que actuó mediante el uso de"varias" técnicas de 'hacking', informó el lunes de dicha sustracción a la compañía.
Según Nintendo, en el primer correo enviado dicho individuo propuso textualmente "iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios". A cambio, se comprometía a no denunciar a la empresa ante las autoridades competentes en materia de protección de datos.
Nintendo confirma que los datos robados, que corresponden en todo caso a personas mayores de 16 años, se encontraban en una base de datos "de uso interno" pero "accesibles desde Internet".
La compañía se enteró de esa sustracción de datos por el mensaje del autor -que lo firmó con nombre y apellidos, aún no comprobados- y procedió a 'tumbar' (hacer inaccesible) dicha base de datos.
Así, según la nota, "este ataque se produjo en la tarde del domingo 6 de febrero y Nintendo Ibérica procedió, en el plazo de 24 horas, a cancelar el registro 'online' y sustituirlo por un sistema telefónico, así como aconfirmar el 'hackeo' mediante un peritaje externo e independiente".
Nintendo Ibérica, que asegura que "tiene claro que en ningún caso puede negociar con los datos personales de sus usuarios", informa de que el presunto autor de la sustracción de los datos envió varios correos en los que incluso apuntaba "plazos para dar la información a las autoridades y los medios de comunicación" si no recibía una respuesta de la compañía favorable a la negociación.
En su comunicado enviado a varios medios de comunicación, Nintendo Ibérica no especifica cuál es el objeto de la negociación planteada por el propio autor de la sustracción.
Alternativas legales
Fuentes oficiales de la compañía aseguran que este caso ya está en manos de sus abogados, que valoran sus alternativas legales.
Tras la última y reciente reforma, el Código Penal español reconoce comodelito en su artículo 197.3 el acceso "sin autorización a datos o programas informáticos" "por cualquier medio o procedimiento yvulnerando las medidas de seguridad establecidas para impedirlo".
Asimismo, en los tipos de delito de amenazas (artículos 169 y siguientes del vigente Código Penal) la doctrina reconoce como tal incluso la 'amenaza condicional de un mal no constitutivo de delito', como en este caso la denuncia a Nintendo ante Protección de Datos.
Nintendo Ibérica asegura que ha informado a la Agencia Española de Protección de Datos (AEPD) de lo sucedido. Por su parte, la AEPD recuerda que la Ley Orgánica de Protección de Datos recoge en su artículo 9 el 'principio de seguridad de los datos', que impone la obligación de adoptar las medidas técnicas y organizativas que garanticen dicha seguridad.
No obstante, según la AEPD, "el alcance y las consecuencias de un supuesto incumplimiento de esta obligación serían objeto de análisis, si se recibiera una denuncia, en el transcurso de la inspección".
FUENTE: www.elmundo.es