Ciudadanos pide al ministro de Justicia que aclare si recurrirá la resolución de la AEPD sobre Lexnet

Ciudadanos ha registrado en la Mesa del Congreso una respuesta por escrito al ministro de Justicia, Rafael Catalá, para que aclare, entre otras cuestiones, si su departamento recurrirá la resolución de la Agencia Española de Protección de Datos (AEPD) que concluyó que se produjo una infracción grave del artículo 44.3.d de la Ley Orgánica de Protección de Datos (LOPD) por parte del Ministerio de Justicia, durante el incidente de seguridad de 28 de julio de 2017 del sistema LEXNET,

En su exposición de motivos, Ciudadanos recuerda que «de conformidad con las noticias publicadas en diversos medios de tirada nacional, durante aquel periodo, la plataforma dejó al descubierto 11.000 documentos de la Justicia».

Recuerdan que  la Agencia Española de Protección de Datos entendió «que la Subdirección General de Nuevas Tecnologías de la Justicia incurrió en una infracción grave, al vulnerar los artículos 9 y 10 de la Ley Orgánica 15/1999 de Protección de Datos. Aunque esta resolución no conlleva ninguna sanción efectiva más allá de la publicación de este expediente, ello no conlleva a una exención de las responsabilidades políticas que este episodio han generado».

A estos efectos, la Subdirección General de Nuevas Tecnologías de la Justicia enunció en sus alegaciones hasta 58 medidas preventivas planificadas para garantizar la no repetición del incidente de seguridad que permitió a usuarios visualizar documentos de terceras personas, accediendo a su bandeja de entrada privada y a los documentos de cada uno de los procesos judiciales que tenían en marcha.

Por todo ello, los diputados del Grupo Parlamentario Ciudadanos Marcial Gómez y José Ignacio Prendes, formulan al ministro las siguientes preguntas:

1. ¿Piensa su Ministerio recurrir esta resolución, o considera afortunada la tipificación como “grave” de la infracción, y que el gravísimo fallo de seguridad no pasara a mayores?
2. ¿Qué responsabilidades políticas van a asumirse por la conducta de la Subdirección General de Nuevas Tecnologías de la Justicia que la Agencia Española de Protección de Datos incardina en las letras d) y h) del artículo 44.3 de la Ley Orgánica de Protección de Datos?
3. ¿Se ha puesto ya en funcionamiento el Command Center, una de esas acciones planificadas para el futuro para centralizar el análisis de logs, la vigilancia de las aplicaciones en tiempo real y prevenir incidentes?
4. ¿Se ha suscrito ya el Convenio para desarrollar un SOC (Centro de Operaciones de Seguridad)?
5. ¿Se ha creado ya la Oficina de Gestión del Servicio?
6. ¿Qué medidas concretas se han adoptado para mejorar la calidad del código?
7. ¿Qué medidas concretas se han adoptado para la revisión de ejecución de comandos, la revisión de la gestión de la autenticación, el filtrado adecuado de datos, la revisión de los esquemas de autorización, la prevención de suplantación al usuario, la eliminación de la posibilidad de filtrado de datos sensibles, la actualización de los componentes de software, la mejora de la configuración de seguridad de los sistemas de información, la mejora de estrategias en detección de ataques y otros aspectos organizativos y legales?
8. ¿Contempla el Gobierno la posibilidad de aumentar la capacidad de 15GB a los usuarios del sistema, toda vez que resultan insuficientes a los usos actuales?