La AEPD declara que el Ministerio de Justicia cometió una infracción grave por el fallo de seguridad de LexNet

Se ha infringido lo dispuesto en el artículo 9.1 de la LOPD
|

Una resolución de 15 de marzo de 2018 de la Agencia Española de Protección de Datos (AEPD) concluye que se produjo una infracción grave del artículo 44.3.d de la Ley Orgánica de Protección de Datos (LOPD) por parte del Ministerio de Justicia, durante el incidente de seguridad de 28 de julio de 2017 del sistema LEXNET donde unos usuarios pudieron acceder a la información de otros usuarios.

La declaración pública de que se ha producido dicha infracción grave es la sanción que ha recibido el Ministerio. De acuerdo con la LOPD, las Administraciones Públicas no pueden ser sancionadas económicamente.

PUBLICIDAD
PUBLICIDAD

Así lo establece su artículo 46.1: Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera”.

De haber sido una empresa privada, el Ministerio podría haber sido sancionado con una multa de 40.001 a 300.000 euros.

Esta circunstancia, sigue contemplada en la futura LOPD, lo cual ha fue objeto de grandes críticas en el Parlamento por parte de los expertos que depusieron ante la Comisión correspondiente, por la “asimetría” en las responsabilidades: apercibimiento a las Administraciones Públicas y multas al sector privado.

PUBLICIDAD

Lo que dice la AEPD

Para la AEPD queda acreditado que el sistema LEXNET no impidió que unos usuarios accedieran a la información de otros usuarios, lo que significa que por parte de la Subdirección General de Nuevas Tecnologías se produjo una vulneración del deber de secreto respecto a datos de carácter personal concernientes a terceros, por lo cual la infracción se califica como grave.

“El incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios”.

PUBLICIDAD

La AEPD constata que tal incidente de seguridad se produjo a causa una deficiente implementación de las medidas de seguridad obligatorias, unas medidas que el Ministerio debía haber adoptado antes, dándose a conocer su mala gestión solo a raíz del incidente concreto de 28 de julio.

PUBLICIDAD

A partir del mismo se trató de suplir esa gestión con un crédito urgente de más de 55 millones de euros aprobado por el Consejo de Ministros.

La resolución de la AEPD apunta una línea clara de responsabilidad, señalando a la Subdirección General de Nuevas Tecnologías de la Justicia, dependiente de la Secretaría General de la Administración de Justicia, que está a su vez bajo la dependencia de la Secretaria de Estado de Justicia, en última instancia bajo la responsabilidad del Ministro de Justicia.

Según la AEPD se trata de una infracción del artículo 9.1. de la LOPD, tipificada como grave en el artículo 44.3.h) de la citada Ley Orgánica, al haberse constatado que tales hechos se producen por una deficiente implementación de las medidas e seguridad obligatorias según la naturaleza y el nivel de seguridad asignado a fichero en cuestión. En consecuencia, dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que la SGNTJ es responsable de la misma”.

Y recuerda que” la Subdirección General de Nuevas Tecnologías de la Justicia (SGNTJ) está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para el sistema LexNET, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en los mismos”.

Además señala que “En este caso, sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, por cuanto no impidió de manera fidedigna que por parte de terceros (usuarios del sistema) se pudiera acceder a buzones de distintos usuarios. En concreto, consta acreditado que unos usuarios de LexNET pudieron acceder a buzones ajenos y acceder a notificaciones efectuadas y traslado de escritos, demandas; acceder a notificaciones ya aceptadas y a los acuses de recibo de escritos presentados previamente por el usuario; acceso a notificaciones no practicadas en caso de buzones de procuradores”.

PUBLICIDAD

Contra esta resolución, firmada por Mar España, directora de la Agencia Española de Protección de Datos, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Lo que dice el Ministerio de Justicia

Según el Ministerio, “ha quedado probado que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. Puesto que en LexNET no existen expedientes completos, el número de documentos que se vieron afectados fue muy limitado y se estima que el número de buzones que pudo verse perjudicado apenas fue el 0,1%”.

Y añade: “Un total de 140 usuarios accedieron de forma irregular a 150 buzones que no les pertenecían y visualizaron 1.023 mensajes de forma no autorizada, aunque no descargaron contenidos. Fueron 74 los que sí lo hicieron de 431 mensajes consistentes en notificaciones ya practicadas y limitadas a los 60 días anteriores. La Agencia da por probado que no se podían manipular documentos, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo, ni presentar escritos en nombre de otros usuarios, así como que no pudieron visualizarse mensajes anteriores a 60 días dado que el sistema borra los datos de forma automática”.

El Ministerio también llama la atención sobre sus esfuerzos para “mitigar el incidente de seguridad y evitar situaciones similares en el futuro. El Ministerio ha diseñado 69 medidas correctivas y preventivas, de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y pruebas. Todo ello hace que hoy LexNET sea mucho más seguro que antes del incidente”.

Y resalta su colaboración, “con total transparencia, lealtad y respeto institucional en las investigaciones y desde el primer momento reconoció el fallo que, debido a un error de programación y control en una actualización de LexNET por parte de la empresa que desarrolla el sistema, permitía a los usuarios acreditados con certificado digital y tras una serie de acciones, acceder al buzón de un tercero”.

El SISEJ pide responsabilidades

Tras conocerse la resolución de la AEPD, el Sindicato de Letrados de la Administración de Justicia (SISEJ), a través de un comunicado, denuncia “el grado de impunidad y falta de rendición de cuentas que pretende el gabinete dirigido por Rafael Catalá en todos sus niveles y departamentos respecto a su gestión es inaudito para una sociedad democrática. En el caso que nos ocupa  el Ministerio de Justicia, en lugar de asumir sus propias responsabilidades, denunció a quien desveló la vulnerabilidad de LEXNET”.

En este sentido también subrayan que “Pese a la propaganda oficial sobre el proceso de digitalización de la Justicia española, la gestión tecnológica de este Ministerio necesita un cambio de rumbo, diagnóstico en el que coincidimos la mayoría de los operadores jurídicos. Además de las expectativas frustradas respecto al llamado “papel cero”, los fallos de LEXNET han sido recurrentes desde enero de 2016 y así los califica el Defensor del Pueblo en su informe de 2017″.

Recuerdan también que “el pasado 5 de marzo la Secretaria de Estado, Carmen Sánchez-Cortés manifestó en el Senado literalmente que estaban “deseando recibir” las conclusiones de la AEPD, y que en ese momento, y no en otro, tendrían toda la información y podrían hacer balance. Pues bien, se va a cumplir casi un mes de la resolución de la AEPD y el Ministerio de Justicia no ha hecho nada”.

Por todo ello, desde el SISEJ exigen responsabilidades “respecto a quienes han tenido parte y responsabilidad en la gestión tecnológica del Ministerio de Justicia dirigido por Rafael Catalá hasta el punto de descuidar la seguridad de los datos personales contraviniendo la Ley.