Protección de Datos sanciona a la Comunidad de Madrid por dejar al descubierto datos personales de pacientes

La Agencia Española de Protección de Datos ha sancionado a la Consejería de Sanidad de la Comunidad de Madrid por una brecha de seguridad que dejó al descubierto datos personales de ciudadanos a través de su sistema de autocita para la vacunación contra la COVID-19, que abrió el 24 de mayo de 2021. El fallo estuvo activo desde ese día hasta el jueves 10 de junio, tras el aviso de elDiario.es.

La Consejería admitió entonces el fallo, pero trató de restarle importancia, alegando que ningún “actor malicioso” había accedido a los datos de los residentes en la región porque, de haber sucedido, “el Centro de operaciones de ciberseguridad que monitoriza los sistemas de información ininterrumpidamente, lo hubiera detectado”. No obstante, Facua Madrid puso los hechos en conocimiento del organismo público encargado de velar por la protección de datos en España.

Ahora, la Agencia ha dado la razón a la asociación de consumidores, en una decisión contra la que cabe recurso, al considerar que la Consejería vulneró hasta cuatro artículos del reglamento en este incidente. Por ello, le impone una sanción de apercibimiento, y no económica, la fórmula prevista para las instituciones de las comunidades autónomas en la Ley de Protección de Datos Personales y garantía de los derechos digitales.

Durante el incidente, la página web del sistema de citas para la vacunación dejaba a la vista el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria, tanto autonómicos como nacionales de cualquier ciudadano al solicitar una cita con su Código de Identificación Personal de la Comunidad de Madrid. Como confirma ahora la Agencia, estos datos quedaban al descubierto al introducir el DNI de las personas, aunque fuera al azar.

El 5 de octubre de 2021, la inspección solicitó a la Consejería de Sanidad madrileña información relativa de los hechos ocurridos, sus causas, el número de personas afectadas y las posibles consecuencias para las víctimas de esta brecha de seguridad, así como el motivo por el que no se notificó el incidente en el plazo previsto de 72 horas. Una solicitud que se reiteró, según el escrito, el 1 de diciembre de aquel año, tras no obtener respuesta por parte de la administración regional.

El 14 de marzo, todavía sin respuesta, la dirección de la Agencia acordó iniciar un procedimiento sancionador contra la Consejería que dirige Enrique Ruíz Escudero. Tras analizar los hechos, este organismo concluye que “el fallo detectado relacionado con este sistema de información se debe a una exposición de información de datos personales (públicos) accedidos mediante una cookie de sesión válida, y editando la url accedida uno de los cambios de entrada llamado ”idPaciente“ con un DNI válido”. Esto permitía “visualizar una serie de datos personales correspondientes a la persona con el DNI utilizado”, algo que se debía a que la aplicación web “contaba con mecanismos de bloque insuficientes”.

Según el documento al que ha tenido acceso elDiario.es, “con fecha de 15 de julio de 2022, la directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador” a la Consejería, por varias infracciones del Reglamento General de Protección de Datos. La administración se justificó alegando que en los meses de mayo y junio de 2021, cuando se produjo el incidente, se encontraba “en un momento muy crítico relacionado con la gestión de la pandemia”.

La Agencia ha considerado no informar a la Autoridad de Control, debido “al nivel de riesgo de la incidencia” y “teniendo en cuenta el bajo volumen de datos que podrían haberse afectado, la tipología de los mismos, siendo únicamente datos de carácter identificativo” así como que el impacto provocado en los interesados fue “inexistente”. Sin embargo, critica que “no se ha presentado por parte de la Consejería una valoración de riesgos realmente efectuada”.