09
Jul
2021
Una grieta de seguridad en el portal del certificado inmunitario deja al descubierto datos personales de miles de madrileños Imprimir
Otras Noticias - Comunidad de Madrid
Compartir en MenéameCompartir en TuentiCompartir en Buzz it!Compartir en FacebookCompartir en Twitter

Foto cedida por CAMLa Comunidad dice que sólo duró unos minutos, mientras que Telemadrid y FACUA denuncian los hechos

El miércoles por la tarde, tan sólo unas horas antes de que la Asamblea votase la nueva Ley que devuelve el poder a los políticos en Telemadrid, la tele pública regional desvelaba una noticia de enorme impacto: habían detectado una brecha de seguridad en el portao del certificado inmunitario que permitía, accediendo al código fuente de la página, conocer datos personales de miles de madrileños. Como suele ser habitual, el Gobierno Regional primero lo negaba, llegando a acusar a Telemadrid de difundir bulos; y después lo reconocía aunque quitándole hierro.

Así Zapatero contaba este viernes que la brecha se había detectado el miércoles por la tarde, coincidiendo con una actualización de datos del portal, y rápidamente habían apagado la aplicación, con tan mala suerte de que en el ínterin Telemadrid había descubierto el fallo de seguridad. En cualquier caso, al día siguiente la cadena pública enviaba todas las pruebas a la Fiscalía por si se hubiese producido un delito de revelación de datos personales. Pocas horas después, FACUA también anunciaba una denuncia, esta vez ante la Agencia Española de Protección de Datos.

FACUA Madrid ha presentado una denuncia contra la Consejería de Sanidad de la Comunidad de Madrid ante la Agencia Española de Protección de Datos (AEPD) por la difusión de datos personales de miles de ciudadanos a través de su portal web para la obtención del certificado Covid. Se trata de la tercera ocasión en menos de un año en la que la asociación denuncia al Gobierno regional por vulnerar la normativa de protección de datos personales.

Según ha publicado elDiario.es, la brecha de seguridad permitía a cualquier usuario introducir un DNI y obtener así toda la información de la persona asociada a dicho número. Si se introducían cifras aleatorias y resultaban corresponderse con el documento de identidad de algún ciudadano, podían obtenerse igualmente sus datos personales. También funcionaba con el Número de Identificación de Extranjeros (NIE).

La Comunidad de Madrid ha reconocido la existencia de dicho fallo y este miércoles 7 de julio ha bloqueado el acceso a la web. "La incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha", han indicado fuentes de la Consejería de Sanidad a elDiario.es. En este sentido, FACUA Madrid señala que lo ocurrido incurriría en una vulneración del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En el apartado primero, letra a del citado artículo, se indica que "el tratamiento solo será lícito" si "el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos". De igual forma, el artículo 5 del RGPD recoge que los datos personales deben ser "tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)".

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), señala en su artículo 72 como infracciones "muy graves" aquellas que supongan "el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6" del RGPD.

FACUA Madrid recuerda que esta es la tercera ocasión en menos de un año en la que denuncia la filtración de datos personales por parte de la Comunidad de Madrid. Anteriormente, la asociación ya denunció a la Consejería de Sanidad porque la web de autocita para la vacunación contra la Covid-19 también revelaba datos de los usuarios a cualquiera que introdujera el Código de Identificación Personal de la Comunidad de Madrid (CIPA). Dicho código está en la tarjeta sanitaria personal y no es un dato público.

Además, en septiembre de 2020, presentó una denuncia contra la Consejería de Educación y Juventud por exponer los datos personales de casi 17.000 trabajadores de los centros educativos de la región. La AEPD informó de que había apreciado "indicios racionales de una posible vulneración de la normativa en materia de protección de datos", pero finalmente, pese a confirmar esta irregularidad cometida por la Comunidad de Madrid, ha resuelto archivar el procedimiento porque su actuación "fue proporcionada" y tomó "las medidas adecuadas para evitar que se vuelva a producir".

Teniendo en cuenta que la normativa de protección de datos no contempla multas económicas a administraciones públicas, sino un mero apercibimiento, FACUA Madrid ha considerado inconcebible que la Agencia haya decidido resolver el asunto sin tan siquiera aplicar esa medida a la Consejería de Juventud y Educación.