FACUA denuncia a la Comunidad de Madrid ante la AEPD por exponer datos en su web de citas para vacunarse

Al introducir un código aleatorio en la página, ésta devuelve la información de la persona asociada a dicho número, incluyendo su nombre, apellidos, DNI y números de identificación sanitaria.

FACUA denuncia a la Comunidad de Madrid ante la AEPD por exponer datos en su web de citas para vacunarse
Imagen: Europa Press.

FACUA Madrid ha denunciado a la Consejería de Sanidad de la Comunidad de Madrid ante la Agencia Española de Protección de Datos (AEPD) por exponer los datos de los usuarios que han solicitado cita para recibir la vacuna contra la Covid-19 a través de la página web que la administración madrileña ha habilitado para ello.

Según ha publicado elDiario.es, un error de programación de dicha web para autocita dejaba al descubierto nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria tanto autonómicos como nacionales de cualquier ciudadano que haya hecho una solicitud mediante su Código de Identificación Personal de la Comunidad de Madrid (CIPA). Dicho código está en la tarjeta sanitaria personal y no es un dato público.

Al introducir un número aleatorio en el campo del CIPA, si este se corresponde con un código existente, podía accederse al perfil y a todos los datos personales del ciudadano asociado a dicho código. elDiario.es ha informado de que, tras comunicar a la Comunidad de Madrid la existencia de dicha brecha de seguridad, la Consejería de Sanidad ya ha corregido el error y ha señalado que ningún "actor malicioso" ha accedido a dichos datos.

En este sentido, FACUA Madrid recuerda que el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), establece que el tratamiento de datos sólo será licito si "el interesado dio su consentimiento", entre otros, circunstancia que no se ha producido en este caso.

Además, el artículo 9 del citado Reglamento prohíbe el tratamiento de las llamadas categorías especiales de datos personales, como son aquellos "relativos a la salud". En estas categorías también se incluyen "datos relativos a la vida sexual o las orientación sexuales de una persona física", "origen étnico o racial" o "datos genéticos", entre otros.

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, considera como infracción "muy grave" "el tratamiento de datos personales sin que concurra algunas de las condiciones de licitud de tratamiento" establecidas en el artículo 6 del RGPD.

Por todo ello, FACUA Madrid ha solicitado a la AEPD que investigue los hechos ocurridos e incoe el correspondiente expediente sancionador.

La Comunidad de Madrid expuso datos de sus docentes

Esta nueva filtración de datos personales se trata de la segunda ocurrida en menos de un año por la administración madrileña. En septiembre de 2020, FACUA denunció a la Consejería de Juventud y Educación por exponer los datos personales de casi 17.000 trabajadores de los centros educativos de la región.

Recientemente, la AEPD ha confirmado la irregularidad cometida por la Comunidad de Madrid, pero ha resuelto archivar el procedimiento porque su actuación "fue proporcionada" y "ha tomado las medidas adecuadas para evitar que se vuelva a producir".

Teniendo en cuenta que la normativa de protección de datos no contempla multas económicas a administraciones públicas, sino un mero apercibimiento, FACUA Madrid ha considerado inconcebible que la Agencia haya decidido resolver el asunto sin tan siquiera aplicar esa medida a la Consejería de Juventud y Educación.

Ya somos 249.591