Tras la denuncia de FACUA-Consumidores en Acción, la Agencia Española de Protección de Datos (AEPD) ha emitido una sanción de apercibimiento contra la Consejería de Sanidad de la Comunidad de Madrid por el fallo de seguridad en la web de autocitas para la vacunación contra la Covid-19.
La asociación denunció a la administración madrileña en junio de 2021 tras tener constancia de que el error dejaba al descubierto el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria de cualquier usuario que hubiera solicitado cita para la vacunación.
Ahora, la AEPD, en su resolución, ha emitido hasta cuatro apercibimientos contra la Consejería de Sanidad por varias vulneraciones del Reglamento General de Protección de Datos (RGPD).
Mecanismos de bloqueo insuficientes
Tras tener conocimiento de la denuncia, la Agencia inició una investigación de los hechos y mandó una solicitud de información a la Consejería para poder inspeccionar los datos, que no tuvo respuesta por parte de la Administración madrileña.
Después de un segundo intento infructuoso, la AEPD valoró el inicio de un procedimiento sancionador por la falta de respuesta. Fue entonces cuando la Consejería envió un escrito de alegaciones en el que indicaba que «se estimó que no resultaba preceptivo» informar a la Agencia, dado que «no se tiene constancia de que ningún ciudadano haya sufrido consecuencias negativas».
La AEPD, sin embargo, ha señalado que resultaba muy «indeterminado» el concepto de que era improbable que hubiera existido riesgo para los ciudadanos, teniendo en cuenta el fallo que se había producido.
«Esta Agencia constata que, de hecho, los incidentes sí llegaron a materializarse, que se detectó un fallo en el sistema, debido a una exposición de información de datos personales (públicos) accedidos mediante una cookie de sesión válida, y editando la URL accedida uno de los campos de entrada llamado idPaciente con un DNI válido», señala. «Adicionalmente se constató que la aplicación web contaba con mecanismos de bloqueo insuficientes ante reintentos a la hora de introducir los datos de autenticación».
Cuatro infracciones
Así, la AEPD ha resuelto que la Consejería de Sanidad cometió cuatro infracciones del Reglamento General de Protección de Datos. En concreto, de los artículos 5.1, 25, 32 y 33.
Estos artículos recogen entre otros, la obligatoriedad de aplicar medidas que «garanticen un nivel de seguridad adecuado al riesgo», incluyendo «seudonimización, cifrado y confidencialidad de los datos», e integrar las «garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados».
También recoge que los datos personales deben ser «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental».
