La asociación de consumidores FACUA ha presentado una denuncia contra el la conselleria de Salud ante la Autoridad Catalana de Protección de Datos (APDCAT) por exponer datos personales de los usuarios que han solicitado cita para recibir la vacuna anticovid a través de la página web habilitada para ello.

El Departamento de Salud admitió ayer una brecha en la web para coger cita para la vacunación que ha supuesto una exposición de datos personales de ciudadanos, como el DNI, el nombre y citas para inmunizarse, un problema que aseguró que ya se ha corregido.

Junto con la Agencia de Ciberseguridad de Cataluña, Salud tuvo conocimiento de un incidente tras observar que se producían peticiones de información fuera de lo que es habitual.

"Del análisis detallado posterior se ha constatado la existencia de una vulnerabilidad en uno de los componentes de la solución que comportaba un riesgo de exposición de datos identificativos de las personas y de las citas de vacunación", una vulnerabilidad que "se ha corregido", aseguró Salud en un comunicado.

El conseller de Salud, Josep María Argimon, aseguró ayer tajantemente que el fallo no ha afectado a información clínica ya que en esta web únicamente constan los datos específicos de citación al proceso de vacunación.

En un comunicado, FACUA Cataluña señala que lo ocurrido incurriría en una vulneración del artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En el apartado primero, letra a del citado artículo, se indica que "el tratamiento solo será lícito" si "el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos".

De igual forma, el artículo 5 del RGPD recoge que los datos personales deben ser "tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)".

Por otra parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), señala en su artículo 72 como infracciones "muy graves" aquellas que supongan "el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6" y "el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5" del RGPD.

FACUA Madrid también ha denunciado hasta en tres ocasiones en menos de un año a la Comunidad de Madrid también por la filtración de datos personales.

La asociación denunció a la Consejería de Sanidad madrileña porque la web de autocita para vacunarse también revelaba datos de los usuarios a cualquiera que introdujera el Código de Identificación Personal de la Comunidad de Madrid (CIPA). EFE

fjn/mg/jdm