La Comunidad de Madrid violó la privacidad de los ciudadanos con su web del certificado COVID

El portal que la Comunidad de Madrid habilitó para obtener el certificado digital COVID en julio de 2021 tenía graves errores técnicos. Entre ellos, una brecha de seguridad que permitía al usuario introducir cualquier número de DNI y obtener el nombre completo de la persona a la que pertenece, su dirección, su teléfono móvil, el fijo, su código de identificación sanitaria o datos relacionados con su proceso de vacunación. El agujero, revelado por elDiario.es, dejaba a la vista esos datos personales de todas las personas registradas en el sistema sanitario madrileño, ya fueran el rey Felipe VI o Pedro Sánchez.

La organización de consumidores Facua denunció los hechos ante la Agencia Española de Protección de Datos (AEPD), que ahora ha resuelto que la Comunidad de Madrid violó la privacidad de los ciudadanos al exponer su información de manera injustificada. La sanción no conlleva multa económica sino solo un apercibimiento, ya que la ley de protección de datos no contempla multas para las administraciones públicas.

“Se deduce una falta de la debida diligencia tanto en el cumplimiento de las medidas de seguridad adecuadas al riesgo del tratamiento, así como en la supervisión o comprobación de su observancia y de la idoneidad de las mismas”, expone el regulador de privacidad en su resolución.

La AEPD señala dos fallos graves en los que incurrió la Comunidad dirigida por Isabel Díaz Ayuso a la hora de salvaguardar los datos. Por un lado se encuentra la propia brecha de seguridad, ya que “ha quedado acreditado que se produjeron accesos indebidos por terceros no autorizados a datos personales de ciudadanos”, afirma la Agencia. Esto supone una violación del “principio de confidencialidad” de los datos de los ciudadanos, continúa el organismo.

El segundo defecto de la web oficial fue no establecer contramedidas para que los datos personales no quedaran totalmente expuestos en caso de brecha se seguridad. La AEPD señala que la Consejería de Sanidad madrileña debía haber procedido a “la seudonimización y el cifrado de datos personales” de los ciudadanos, algo que habría impedido estos pudieran ser legibles para cualquiera que explotara el agujero.

Una investigación posterior de elDiario.es reveló que Ayuso había pagado 225.000 euros a Indra por el diseño del portal del certificado COVID. Lo hizo por la vía de urgencia y sin concurso público. Todos los especialistas técnicos consultados por este medio coincidieron en calificar la brecha como “un error de novato”: “Es un fallo muy básico de desarrollo, de novato a nivel de ciberseguridad (o de desconocedor de la implicación)”, explicaron.