La Agencia Española de Protección de Datos (AEPD) ha resuelto que la Consejería de Salud de la Comunidad de Madrid vulneró la normativa al permitir el acceso a datos de los usuarios en su portal del certificado COVID.
La asociación FACUA Madrid denunció a la administración madrileña ante la AEPD en julio de 2021 tras tener conocimiento de que dicha web permitía a cualquier usuario introducir el DNI de otra persona y obtener así toda la información vinculada a ella, como el nombre completo, su dirección y los teléfonos móvil y fijo. También funcionaba con el Número de Identificación de Extranjeros (NIE).
Ahora, Protección de Datos ha confirmado que la Consejería de Salud madrileña infringió lo dispuesto por dos artículos del Reglamento General de Protección de Datos (RGPD) relativos al tratamiento de dichos datos. Así, la Agencia ha publicado la resolución en su página web este pasado viernes 2 de febrero. La AEPD ha resuelto sancionar ambos incumplimientos con un apercibimiento a la Consejería de Salud, ya que la normativa no permite la imposición de multas económicas a las administraciones públicas.
Falta de diligencia
En concreto, los dos artículos vulnerados de la normativa de protección de datos serían el 5.1 y el 32, relativos relativos a los principios de seguridad que deben regir el tratamiento de datos personales de los usuarios. Así, el artículo 5.1 del RGPD señala que los datos personales deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental“.
De esta manera, la resolución de la AEPD señala que la Consejería de Salud vulneró “el principio de confidencialidad pues ha quedado acreditado que se produjeron accesos indebidos por terceros no autorizados a datos personales de ciudadanos […] debido todo ello a un error en el proceso de autenticación del usuario“.
Por otro lado, el artículo 32 de la normativa de protección de datos recoge entre las medidas que deben aplicarse para garantizar la seguridad del tratamiento “la seudonimización y el cifrado de datos personales” y “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento“.
Sin embargo, la AEPD recoge en su resolución que en la actuación de la administración madrileña se “deduce una falta de la debida diligencia tanto en el cumplimiento de las medidas de seguridad adecuadas al riesgo del tratamiento, así como en la supervisión o comprobación de su observancia y de la idoneidad de las mismas“.
