El Grupo XVI de Delitos Tecnológicos de la Brigada Provincial de la Policía Judicial de la Policía Nacional de Madrid y el Grupo de Delitos Telemáticos de la Guardia Civil de Madrid están investigando ya el presunto fallo de seguridad detectado en servidores del plan Covid de la Consejería de Sanidad, que habrían dejado en descubierto datos personales de miles de madrileños, entre ellos el Rey Felipe VI o el presidente del Gobierno de España, Pedro Sánchez.

Los agentes especializados se han puesto en marcha tras la denuncia presentada anoche en la comisaría de la Policía Nacional en Telemadrid, medio que ha desvelado la brecha digital a raíz de una denuncia anónima. Así, ya han rastreando los enlaces, web y pantallazos proporcionados y comprobando si algunos ciudadanos han podido acceder a datos sensibles de muchos madrileños, han confirmado fuentes de ambos Cuerpos de Seguridad.

Según las informaciones, la brecha de seguridad permitía a cualquier usuario introducir un DNI y obtener así toda la información de la persona asociada a dicho número. Si se introducían cifras aleatorias y resultaban corresponderse con el documento de identidad de algún ciudadano, podían obtenerse igualmente sus datos personales. También funcionaba con el Número de Identificación de Extranjeros (NIE).

El portavoz del PP en la Asamblea de Madrid, Alfonso Serrano, ha subrayado hoy el fallo de seguridad en el portal ciudadano para la obtención del certificado Covid-19 de la Comunidad «es un tema menor» y ha hablado de una «información sesgada». «Es una cuestión técnica, informática y menor y es totalmente falso que se pudiera conocer y acceder a los datos de cualquier ciudadano», ha apuntado.

«Es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado Covid y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes», han aclarado fuentes de la Consejería de Sanidad.

Las mismas fuentes han informado de que esta incidencia se ha ocasionado por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad.

En cualquier caso, han precisado que la incidencia no afectaba a datos clínicos y «por supuesto no comprometía la alteración alguna de información en las bases de datos». Además, han explicado que para acceder a esa información se necesitaría el DNI de la persona en cuestión y han insistido en que «se ha bloqueado el acceso generado indebidamente».

Denuncia ante la Agencia Española de Protección de Datos

Además de esta denuncia, Facua Madrid ha presentado otra contra la Consejería de Sanidad de la Comunidad de Madrid ante la Agencia Española de Protección de Datos (AEPD) «por la difusión de datos personales de miles de ciudadanos a través de su portal web para la obtención del certificado Covid».

La asociación de consumidores señala que lo ocurrido incurriría en una vulneración del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En el apartado primero, letra a del citado artículo, se indica que «el tratamiento solo será lícito» si «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos».

De igual forma, el artículo 5 del RGPD recoge que los datos personales deben ser «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)».

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), señala en su artículo 72 como infracciones «muy graves» aquellas que supongan «el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6» del RGPD.

Facua Madrid recuerda que esta es la tercera ocasión en menos de un año en la que denuncia la filtración de datos personales por parte de la Comunidad de Madrid.

Anteriormente, la asociación ya denunció a la Consejería de Sanidad porque la web de autocita para la vacunación contra la Covid-19 también revelaba datos de los usuarios a cualquiera que introdujera el Código de Identificación Personal de la Comunidad de Madrid (CIPA). Dicho código está en la tarjeta sanitaria personal y no es un dato público.

Además, en septiembre de 2020, presentó una denuncia contra la Consejería de Educación y Juventud por exponer los datos personales de casi 17.000 trabajadores de los centros educativos de la región.

La AEPD informó de que había apreciado «indicios racionales de una posible vulneración de la normativa en materia de protección de datos», pero finalmente, pese a confirmar esta irregularidad cometida por la Comunidad de Madrid, ha resuelto archivar el procedimiento porque su actuación «fue proporcionada» y tomó «las medidas adecuadas para evitar que se vuelva a producir».

Teniendo en cuenta que la normativa de protección de datos no contempla multas económicas a administraciones públicas, sino un mero apercibimiento, Facua Madrid ha considerado «inconcebible» que la Agencia haya decidido resolver el asunto sin tan siquiera aplicar esa medida a la Consejería de Juventud y Educación.

Reacción política

La portavoz de Más Madrid en la Asamblea y jefa de la oposición, Mónica García, ha exigido al PP que se disculpe con Telemadrid por el «fallo de seguridad de Schrödinger» y que «no actúen como la mafia», al tiempo que ha afeado al Gobierno regional que lo calificara de bulo mientras desde la Consejería de Sanidad se reconocía una incidencia en el portal para la obtención del certificado Covid-19 «solventada en horas».

«Ayer Telemadrid hizo su trabajo, como muchos otros medios de comunicación, informando rigurosamente sobre un fallo de ciberseguridad que puso a la vista los datos personales de los madrileños y madrileñas. Sin embargo, la Comunidad les acusó de lanzar bulos cuando era la propia consejería (de Sanidad) la que había confirmado que había un fallo de ciberseguridad», ha expuesto García.

Por su parte, la portavoz de Unidas Podemos en la Asamblea de Madrid, Carolina Alonso, ha tildado de «auténtica vergüenza» la presunta brecha de seguridad detectada.

«Si es así lo que tiene que hacer el Gobierno regional tiene que solucionar el problema y pedir disculpas peor en base a lo que nos tiene acostumbrado Ayuso le echa la culpa al mensajero y le acusa a los periodistas de ser un bulo. Y es que Telemadrid precisamente va a presentar a la Policía las pruebas documentales que demostrarían que es verdad que eso sucedió así y que hubo una brecha en la Consejería de Sanidad», ha añadido Alonso antes de entrar en el Pleno de la Asamblea.

Para Alonso, es «absolutamente vergonzoso», en referencia al Ejecutivo autonómico, que «no solo que den palo al agua, sino que fallo tras otro, no sean capaces de reconocer el error, de pedir disculpas a la ciudadanía y salgan otra vez con su aparato de propaganda acusando al mensajero».

Natalia Moreno

Periodista. 19 años dedicada a la comunicación corporativa y la estrategia digital en el sector financiero. Es CEO de Itopía, consultora de marketing y comunicación digital y colaboradora en medios...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.