FACUA denuncia a la Generalitat de Catalunya por la filtraciˇn de datos en su web de citas para vacunarse

La brecha de seguridad dejaba a la vista el nombre, DNI e informaciˇn referente a la cita para la vacuna de cada ciudadano.

FACUA denuncia a la Generalitat de Catalunya por la filtraciˇn de datos en su web de citas para vacunarse
Imagen: Europa Press.

FACUA Catalunya ha denunciado al Departamento de Salud de la Generalitat de Catalunya ante la Autoridad Catalana de Protección de Datos (Apdcat) por exponer los datos de los usuarios que han solicitado cita para recibir la vacuna contra la Covid-19 a través de la página web que la administración catalana ha habilitado para ello.

Según ha publicado elDiario.es, una brecha de seguridad en la web dejaba a la vista el nombre, DNI e información referente a la cita para la vacuna de cada usuario, según ha confirmado la propia administración catalana al medio. El Departamento de Salud ha asegurado que el fallo no ha afectado a información clínica: "en esta web únicamente constan los datos específicos de citación al proceso de vacunación". La administración también ha indicado que la brecha ya ha sido corregida.

El equipo técnico del Departamento de Salud detectó que la web de autocita había recibido "peticiones de información fuera de lo habitual". "Dada la visibilidad y trascendencia de la web, se hace un seguimiento continuo. En el curso de estas actuaciones de monitorización se identificaron solicitudes de acceso por parte de terceros fuera del flujo definido y que han sido objeto de análisis", han indicado fuentes de Salud a elDiario.es.

En este sentido, FACUA Catalunya señala que lo ocurrido incurriría en una vulneración del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En el apartado primero, letra a del citado artículo, se indica que "el tratamiento solo será lícito" si "el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos". De igual forma, el artículo 5 del RGPD recoge que los datos personales deben ser "tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)".

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), señala en su artículo 72 como infracciones "muy graves" aquellas que supongan "el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6" y "el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5" del RGPD.

Denuncias a la Comunidad de Madrid

Por su parte, FACUA Madrid ha denunciado hasta en tres ocasiones en menos de un año a la Comunidad de Madrid por la filtración de datos personales.

La asociación denunció a la Consejería de Sanidad porque la web de autocita para la vacunación contra la Covid-19 también revelaba datos de los usuarios a cualquiera que introdujera el Código de Identificación Personal de la Comunidad de Madrid (CIPA). Dicho código está en la tarjeta sanitaria personal y no es un dato público.

Además, en septiembre de 2020, presentó una denuncia contra la Consejería de Educación y Juventud por exponer los datos personales de casi 17.000 trabajadores de los centros educativos de la región.

La AEPD, en relación a este segundo caso, informó de que había apreciado "indicios racionales de una posible vulneración de la normativa en materia de protección de datos", pero finalmente, pese a confirmar esta irregularidad cometida por la Comunidad de Madrid, ha resuelto archivar el procedimiento porque su actuación "fue proporcionada" y tomó "las medidas adecuadas para evitar que se vuelva a producir".

Teniendo en cuenta que la normativa de protección de datos no contempla multas económicas a administraciones públicas, sino un mero apercibimiento, FACUA consideró inconcebible que la Agencia haya decidido resolver el asunto sin tan siquiera aplicar esa medida a la Consejería de Juventud y Educación.

Ya somos 244.951