Comisión de la Abogacía Digital
Comisión TIC: La Agencia Española de Protección de Datos recrimina al Ministerio de Justicia por una quiebra de seguridad en LexNet.
11 abril 2018
Vulneración de la seguridad y deber de secreto.
La Agencia Española de Protección de Datos, mediante Resolución R/00433/2018, ha considerado que la Subdirección General de Nuevas Tecnologías de la Justicia (dependiente del Ministerio de Justicia), y que gestiona la plataforma LexNet, ha vulnerado la normativa de protección de datos, debido a una importante quiebra de seguridad que fue denunciada el 28 de julio de 2017.
El incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios.
Para el acceso a un buzón del que no se es el propietario se tenía que realizar las siguientes acciones:
- Autenticarse mediante certificado digital.
- Introducir un número de diez dígitos que no tiene relación con el DNI del usuario.
Una vez accedido se permitía acceder a las notificaciones, si bien no permitía borrar o promover algún tipo de comunicación.
En la Resolución de la Agencia se señala que quedaron expuestas las cuentas, “sólo las correspondientes a los colectivos de abogados, procuradores y graduados sociales”.
La Subdirección General de Nuevas Tecnologías de la Justicia aplicó como consecuencia de la quiebra de seguridad, 58 medidas preventivas para garantizar la no repetición del incidente.
Tal y como señala la Agencia, la Subdirección General de Nuevas Tecnologías de la Justicia, debió adoptar las medidas necesarias para impedir que los usuarios de LexNET pudieran acceder a los buzones de otros usuarios. Tales medidas no fueron adoptadas totalmente al modificar la programación del sistema informático ya que se produjeron durante unos días accesos de unos usuarios de LexNET a los buzones de otros.
Queda acreditado, para la Agencia, que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, al modificar el programa de acceso de usuarios de LexNET a buzones de otros usuarios, considerándose que la Subdirección General de Nuevas Tecnologías de la Justicia ha incurrido en una infracción grave.
Por otro lado, la conducta de la Subdirección se incardina en el artículo 44.3.d) de la LOPD que indica como tal: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.”
Por otro lado, la AEPD, aplicando el artículo 29.5 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público acuerda imputar únicamente la infracción del artículo 9 de la LOPD por tratarse de la infracción originaria que ha dado lugar a la comisión de la otra infracción.
En conclusión, se determina la responsabilidad en materia de protección de datos de la Subdirección General de Nuevas Tecnologías de la Justicia, responsable de LexNet, considerando que la quiebra de seguridad es constitutiva de una infracción grave. En cualquier caso, al tratarse de un fichero de titularidad pública no conlleva la imposición de sanciones económicas.
Puedes acceder a la Resolución de la Agencia Española de Protección de Datos aquí.
Javier Alvarez Hernando
Comisión TIC del ICAVA