Noticias JurídicasOrigen http://noticias.juridicas.com

#nuevaLOPD
11/04/2018 16:54:54 | IRENE CORTÉS | #YoCumploRGPD

La AEPD atribuye una infracción grave al Ministerio de Justicia por la brecha de seguridad de la LexNET

La Agencia Española de Protección de Datos (AEPD) ha hecho pública su Resolución en la que confirma que el Ministerio de Justicia ha cometido una infracción tipificada como grave en la Ley Orgánica de Protección de Datos (LOPD) a causa de la brecha de seguridad de la plataforma LexNET que permitió a los usuarios acceder a los buzones personales de terceros. También queda demostrado, que  el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos.

A raíz del fallo del sistema el pasado julio de 2017, un total de 140 usuarios accedieron de forma irregular a 150 buzones que no les pertenecían y visualizaron 1.023 mensajes de forma no autorizada, aunque no descargaron contenidos. Por otro lado, 74 usuarios sí lo hicieron, sobre 431 mensajes consistentes en notificaciones ya practicadas y limitadas a los 60 días anteriores. El Ministerio de Justicia ha atribuido este fallo de la LexNET a la empresa de seguridad que la desarrolla.

Principio de seguridad de los datos

De acuerdo con la Resolución R/00433/2018, “el error de seguridad se produjo al no incorporar una comprobación de los permisos que disponía el usuario activo en el sistema para acceder a buzones de terceros”.

Por lo tanto, la AEPD establece que se ha producido una infracción del artículo 9 de la LOPD tipificada como grave, que obliga a las entidades que manejen datos personales de usuarios a “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”.

En este mismo reglamento se establecen una serie de medidas de seguridad para garantizar que no se produzcan accesos no autorizados a los ficheros, medidas que no se tuvieron en cuenta en la modificación del sistema de la LexNET que se hizo en julio de 2017.

Al no tomar el Ministerio de Justicia estas precauciones, incumplió principio de seguridad de los datos “por cuanto no impidió de manera fidedigna que por parte de terceros usuarios del sistema se pudiera acceder a buzones de distintos usuarios”.

Vulneración del deber de secreto profesional

Sin embargo, de este incidente no sólo se deriva una infracción. Y es que al haberse difundido datos personales que tenían unos usuarios de la LexNET y pudieron ser vistos por terceros, la AEPD reconoce que se produjo una vulneración del deber secreto profesional de los afectados, recogido en el artículo 10 de la LOPD.

“No obstante -continúa la resolución- nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra”.

Sin embargo, la AEPD aplica la normativa nacional (artículo 29.5 de la Ley 40/2015) que exige que ante estas circunstancias, se deberá imponer únicamente la sanción correspondiente a la infracción mas grave cometida. En este caso, la vulneración del principio de seguridad de los datos conllevó a que terceros tuvieran acceso a los datos personales de otros usuarios de la LexNET, por lo que este hecho fue necesario para que se vulnerara posteriormente el secreto profesional de los afectados.

Ante esta Resolución sólo cabe interponer directamente un recurso contencioso administrativo ante la Sala que entiende de esta jurisdicción.

Ministerio de Justicia: el fallo no afectó a ficheros jurisdiccionales

El Minsiterio de Justicia ha emitido hoy un comunicado en el que informa que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. Puesto que en LexNET no existen expedientes completos, el número de documentos que se vieron afectados fue muy limitado y se estima que el número de buzones que pudo verse perjudicado apenas fue el 0,1%.

Asimismo, el departamento que dirige Rafael Catalá ha diseñado 69 medidas para garantizar la no repetición de este incidente de seguridad, de las que 55 ya se han implementado.

Nueva privacidad

La nueva normativa sobre privacidad, que será de aplicación el próximo 25 de mayo, impone más exigencia y eleva las multas por incumplimiento. Es básico, por tanto, estar preparado para este momento. Si quiere saber cómo proteger su empresa frente a los riesgos penales y cumplir con las obligaciones sobre protección de datos, pinche aquí.


Te recomendamos

Actividad en Facebook