La Agencia Española de Protección de Datos multa a Ono con 12.000 euros por compartir uno de sus empleados, los datos personales de 23.600 clientes mediante el eMule. El fichero compartido incluía entre otros datos, el nombre, apellidos, teléfono, dirección y servicios contratados por el cliente.
La denuncia fue presentada por la Policía Local de Ourense, que recibió una denuncia de un ciudadano. Mediante el programa P2P eMule, podía accederse a un fichero llamado "Fines_Promos_CYL.mdb" con los datos de miles de clientes. La policía local presentó su denuncia junto con la IP del usuario que servía de fuente.
Según el informe de los inspectores de la AEPD, el fichero contenía "tres tablas de datos; dos de las cuales contienen datos de carácter personal, al parecer, de clientes de […] CABLEUROPA, S.A.U. […] figurando, entre otros datos, el número de cliente, su nombre y apellidos, teléfono, dirección, descripción del servicio y descripción de la promoción. Una de las tablas de datos contiene 23.600 registros y la otra 20.601".
Al ser requerida, Ono facilitó la identidad del usuario que compartía el fichero, que resulto ser un empleado de la compañía. Según la versión del empleado, "en no pocas ocasiones requería llevarme el trabajo a casa, con el beneplácito explícito e implícito de mis compañeros y superior de la empresa. Con este fin tenía acceso a una conexión VPN de la cual era propietario mi jefe, pero que yo utilizaba a menudo, pues aunque yo no el titular, por criterios de maximizar producción, eficiencia y rapidez, cada mes me facilitaban las claves, con el consentimiento y la autorización tanto de mi gerente como de mi director."
El fichero compartido era la base de datos de clientes utilizada para hacer campañas de marketing directo a los cuales debía comunicarse que el precio de sus servicios iba a ser modificado por la finalización de alguna promoción.
La AEPD ha constatado que los empleados de Ono firman una cláusula de confidencialidad en sus contratos. Además, la empresa tiene definida correctamente su política interna de protección de datos. Es por eso que rebaja la multa mínima correspondiente a una infracción grave, de 60.000 € a 12.000 €.