MADRID, 5 Feb. (EUROPA PRESS) -
La Agencia Española de Protección de Datos (AEPD) ha apercibido a la Comunidad de Madrid por no garantizar la seguridad en el tratamiento de datos personales a través del portal puesto en marcha en junio de 2021 para conseguir el certificado Covid digital al constatar que se pudo acceder a datos de terceros sin su consentimiento.
El procedimiento arrancó en 2021 con la presentación de seis reclamaciones por estos hechos, entre ellas una de FACUA. Según se indica en la resolución, consta "acreditado" que por un fallo en dicho sistema se permitía el acceso ilegítimo a datos personales (entre ellos de salud) al introducir números de DNI, debido a un error en el procedimiento de validación de usuarios.
Entre otros, se pudo acceder a datos tales como nombre y apellidos, NIF, fecha de nacimiento, teléfono(s) de contacto, CIPA (Código de Identificación Personal Autonómico) y datos relacionados con la administración de la vacuna contra el Covid-19, según se indica en la resolución.
En cualquier caso, la sanción no conlleva multa económica sino solo un apercibimiento, ya que la ley de protección de datos no contempla multas para las administraciones públicas, según ha indicado 'elDiario.es', que ha adelantado la resolución.
En sus alegaciones, la Comunidad recordó la situación de "emergencia sanitaria", la sofisticación cada vez mayor de los ciberataques, la implantación de mejoras en ciberincidencias y que los intentos de acceso no legítimos recibidos durante la brecha "fueron 12.862 solicitudes de acceso a datos demográficos".
"Así pues, teniendo en cuenta los millones de certificados Covid emitidos en la Comunidad, únicamente se han podido constatar 3 intentos de acceso a datos relacionados a la vacuna durante el periodo de afectación. Teniendo en cuenta adicionalmente que, como indicábamos, para poder acceder a la información de un ciudadano el número de DNI utilizado debía coincidir con el DNI de uno de los ciudadanos de la Comunidad de Madrid que en ese momento se encontrase en la base de datos del sistema, lo cual es un hecho muy poco probable", se explicaba desde la Consejería de Sanidad.
Desde la Agencia Española de Protección de Datos han rechazado estas alegaciones y defienden, entre otras cuestiones, que "la vulnerabilidad detectada y aprovechada por terceros para acceder a datos personales de forma ilegítima no se debió tanto a un ataque sofisticado, sino más bien a una negligencia" que la Consejería achaca a "un error humano" y a consecuencia de razones de "extrema urgencia y necesidad".
Así, considera "acreditado" que se vulneró el principio de confidencialidad al haberse constatado que se produjeron accesos indebidos por terceros no autorizados a datos personales de ciudadanos en la citada aplicación web de la Consejería. "Ello supone una vulneración de la obligación de garantizar la confidencialidad de los datos, poniendo de manifiesto un incumplimiento de la obligación de tratarlos de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito", señala.
