El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID en julio de 2021 tiene graves errores técnicos. Entre ellos, un fallo de seguridad que permite a cualquier usuario introducir cualquier número de DNI y obtener el nombre completo de la persona a la que pertenece, su dirección, su teléfono móvil, código de identificación sanitaria y datos relativos al proceso vacacional. Este agujero, revelado por elDiario.es, dejaba a la vista estos datos personales de cualquier persona dada de alta en el sistema sanitario de Madrid, ya fuera el rey Felipe VI o Pedro Sánchez.
La organización de consumidores Facua ha denunciado los delitos ante la Agencia Española de Protección de Datos (AEPD), que ahora ha asegurado que la Comunidad de Madrid ha vulnerado la privacidad de los ciudadanos al exponer su información de forma injustificada. La multa no es muy barata, pero es sólo una concesión, ya que la ley de protección de datos no prevé muchas para las administraciones públicas.
“Existe una falta de diligencia debida tanto en el cumplimiento de las medidas de seguridad adecuadas a la posibilidad del tratamiento, como en la supervisión o verificación de su observancia y la idoneidad de las mismas”, expone el regulador de privacidad en su resolución .
La AEPD ha denunciado dos errores graves en los que incurrió la Comunidad que dirige Isabel Díaz Ayuso a la hora de guardar los datos. Por un lado, se trata de una brecha de seguridad que “se ha comprobado que el acceso no autorizado se produjo por parte de terceros no autorizados a facilitar datos personales de los ciudadanos”, afirma la Agencia. Esto supone una violación del «principio de confidencialidad» de los datos de los ciudadanos, continúa.
El segundo fallo de la web oficial no quedó demostrado, por lo que en caso de fallo de seguridad los datos personales no quedan del todo explícitos. La AEPD informó que la Consejería de Sanidad Madrileña tendría que proceder a la «seudonimización y cifrado de los datos personales» de los ciudadanos, algo que impediría que fueran legibles por cualquier persona que utilizara la aguja.
Una investigación posterior de elDiario.es desveló que Ayuso había pagado 225.000 euros a Indra por el diseño del portal de certificados COVID. Lo llevé por el camino de la urgencia y la preocupación pública. Todos los técnicos consultados por este medio coinciden en valorar la brecha como «un error de novato»: «Es un fallo muy básico para desarrollarse, desde novato hasta el nivel de ciberseguridad (o ignorar las implicaciones)», explica.