César Abella. Una vez hechas públicas las conclusiones de la AEPD sobre la investigación relativa al incidente de seguridad del sistema LexNET, el Ministerio de Justicia, a través de una nota de prensa, ha recalcado que queda probado que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. Asimismo, recuerda que Protección de Datos reconoce la colaboración del Ministerio y los esfuerzos inmediatos realizados para mitigar los efectos del error, poniendo en marcha hasta 69 medidas correctivas y preventivas.
En la resolución de la AEPD (LA LEY 19744/2018) no se impone ninguna sanción, pues en caso de incumplimiento por las parte de las Administraciones públicas, se resuelve por parte de la Agencia sin la imposición de sanción pecuniaria e imponiendo la adopción de medidas correctoras, algo que en el presente caso tampoco ha ocurrido por haber considerado que ya se habían tomado las medidas adecuadas para evitar que se volviese a producir el incidente de seguridad.
Incidente de seguridad en el sistema LexNET
El incidente, que se produjo en el mes de julio de 2017, afectó al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios.
La información comprometida no afectaba a expedientes completos en LexNET, sino únicamente a notificaciones. En concreto, el tipo de acceso no autorizado que permitía la brecha habilitaba visualizar el buzón de un tercero, pero no abrir una comunicación que no hubiese sido previamente abierta por el usuario legítimo.
La brecha se produjo en una actualización de LexNET activada el 20 de julio de 2017 y detectada por un usuario siete días más tarde, fue solventada cinco horas después del aviso.
¿Por qué se produjo la incidencia de seguridad?
Tras las peticiones de determinados usuarios, que realizaban labores de sustitución legítima de otros usuarios en el sistema y por aquellos que tienen distintos roles, para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión del usuario y, de esta forma, consultar varios buzones de forma simultánea (incorporación de un control multibuzón), hubo una modificación que dio lugar a la incidencia de seguridad. En dicha modificación no se incorporó una comprobación de los permisos que disponía el usuario activo en el sistema para acceder a buzones de terceros, lo que provocó el error de seguridad.
Actuación investigadora de la Agencia
La AEPD tuvo conocimiento del incidente de seguridad en el sistema LexNET por la notificación del Subdirector General de Nuevas Tecnologías de la Secretaría General de la Administración de Justicia, así como por los escritos recibidos de tres denunciantes. Tras poner en marcha una investigación, se comprobó que la incidencia, que solo afectaba a la versión web, permitía el acceso a buzones ajenos, a notificaciones practicadas y a traslado de escritos, demandas, notificaciones, partes hospitalarios, etc. Asimismo, permitía el acceso a notificaciones ya aceptadas, a los acuses de recibo de los escritos presentados previamente por el usuario y a las notificaciones no practicadas en caso de buzones de procuradores.
Los tipos de cuenta que quedaron expuestos por el incidente fueron los correspondientes a los colectivos de abogados, procuradores y graduados sociales, no afectando a las de la fiscalía, juzgados, fuerzas y cuerpos de seguridad, medicina legal, abogados del estado, servicios jurídicos de las Comunidades Autónomas y Seguridad Social.
Los análisis realizados evidencian la magnitud de la brecha de seguridad de LexNET, en la que 284 usuarios accedieron a 692 buzones que no les pertenecían realizando 1438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 usuarios accedieron a 79 buzones que no les pertenecían y consultaron 432 documentos de forma no autorizada. Es decir, afectó aproximadamente al 0,1% de los buzones de LexNET, al 0,02% de los mensajes que se intercambian en un día y al 0,0001% de todos los mensajes que se han intercambiado en la plataforma LexNET desde el inicio de su operación.
Resolución de la AEPD
La Directora de la Agencia Española de Protección de Datos, en la
Resolución R/00433/2018 (LA LEY 19744/2018)
, ha declarado que el Ministerio de Justicia (Subdirección General de Nuevas Tecnologías de la Justicia) ha infringido lo dispuesto en el artículo 9.1 de la LOPD (LA LEY 4633/1999), tipificada como grave en el artículo 44.3.h) de la citada Ley Orgánica (LA LEY 4633/1999). Debió adoptar las medidas necesarias para impedir que los usuarios de LexNET pudieran acceder a los buzones de otros usuarios al haberse constatado que tales hechos se producen por una deficiente implementación de las medidas de seguridad obligatorias según la naturaleza y el nivel de seguridad asignado al fichero en cuestión. En consecuencia, dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que la SGNTJ es responsable de la misma. Por parte de la SGNTJ se ha producido una vulneración del deber de secreto, dado que se han difundido los datos de carácter personal concernientes a terceros, y por tanto procede calificar la infracción como infracción grave.
Nuevas medidas a adoptar
Conforme al artículo 46 de la LOPD (LA LEY 4633/1999), cuando las infracciones fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. No obstante, la AEPD, al considerar que ya se habían tomado las medidas adecuadas para evitar que se vuelva a producir el incidente de seguridad referido, no ha requerido al responsable de LexNET a la adopción de nuevas medidas. El Ministerio, por su parte, ha achacado el fallo de seguridad a un error de programación y control en una actualización de LexNET por parte de la empresa que desarrolla el sistema.
*********************************************************************************************************************************************************
El nuevo RGPD pronto comenzará a aplicarse en breve. Introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal que tratan las organizaciones. Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos.
Existen sin embargo herramientas que ayudan a abordar con garantía los cambios que se avecinan, para poder adaptar plenamente a las organizaciones a esta nueva realidad, evitando con ello la comisión de posibles infracciones.
Wolters Kluwer pone a su disposición el más completo conjunto de herramientas, cursos de formación y materiales de trabajo para facilitarle el cumplimiento del RGPD
Complylaw Privacidad
Aplicación práctica y adaptación de la protección de datos en el ámbito local
El nuevo marco regulatorio derivado del Reglamento europeo de protección de datos
Aplicación práctica de la protección de datos en las relaciones laborales
Reglamento Europeo de Protección de Datos
Programa Ejecutivo Data Protection Officer (DPO)