La Agencia Española de Protección de Datos (AEPD) ha abierto este jueves una investigación sobre la brecha de seguridad que afectó ayer al portal para obtener el certificado COVID de la Comunidad de Madrid, han confirmado fuentes del organismo a este medio. Ese agujero de seguridad, que pudo ser contrastado por elDiario.es y Telemadrid, expuso los datos personales de miles de ciudadanos: cuando se introducía un número de DNI en la url, el sistema devolvía automáticamente el nombre completo, el número de teléfono fijo y móvil y la dirección postal de la persona a la que corresponde ese DNI.
Introduciendo un número de DNI como el del rey Felipe VI (la familia real ostenta los números a partir del 10, que corresponde a Juan Carlos de Borbón) la página devolvía los datos en bruto con su nombre, Felipe de Borbón y Grecia, su teléfono móvil y su residencia en el Palacio de la Zarzuela, sin número. Introduciendo números de DNI aleatorios se podía acceder a los mismos datos de otros ciudadanos, como del presidente Pedro Sánchez, Pablo Iglesias o José María Aznar. También funcionaba con el NIE, el Número de Identidad de Extranjeros.
Varios abogados especialistas en protección de datos han explicado a este medio que la responsabilidad de la filtración de datos personales no sería solo de la Comunidad de Madrid, sino también de Indra, la empresa a la que Isabel Díaz Ayuso encargó el diseño del portal para obtener el certificado COVID. Fuentes de la AEPD explican que no pueden dar ningún detalle a este respecto al no “tener toda la información” sobre lo sucedido.
La implicación de Indra en la brecha es relevante a efectos de la futura resolución de la AEPD, puesto que este organismo no puede imponer multas económicas a las administraciones públicas aunque encuentre que ha existido dejación de responsabilidades en la protección de los datos personales de los ciudadanos. Sí puede hacerlo, en cambio, si encuentra esas mismas faltas en la actuación de una empresa privada como Indra.
En su comunicación a este medio, la AEPD también ha confirmado que tiene otra investigación abierta por la brecha de seguridad que sufrió otra de las páginas oficiales de la Consejería de Sanidad de la Comunidad de Madrid hace un mes. En esa ocasión afectó al sistema de autocita para la vacuna del coronavirus y permitía acceder a nombres, DNIs, dirección, edad, número de identificación sanitario y teléfono de cualquier ciudadano registrado en el sistema. La brecha fue descubierta por elDiario.es y notificada a la administración regional que dirige Díaz Ayuso, que tardó varios días en cerrarla. Este medio no publicó ninguna información sobre ella hasta que no tuvo constancia de que los datos de los ciudadanos ya no eran accesibles.
La Agencia confirma que ha recibido reclamaciones sobre ambas brechas de seguridad. Dos de ellas vienen de la organización de consumidores Facua, que ha enviado quejas por ambas, tal y como ha comunicado este mañana. Paralelamente, Telemadrid ha puesto los hechos relativos a la brecha descubierta ayer en conocimiento de la Policía.