También en directo
Ahora en vídeo
  • megabanner_1:No existe configuración de publicidad para el slot solicitado
JUSTICIA DIGITAL

Protección de Datos: El fallo de LexNET fue una infracción grave ya subsanada

La Agencia Española de Protección de Datos ha concluido que el fallo de seguridad que se produjo el pasado verano en LexNET, el sistema digital de la Administración de Justicia, supuso una infracción grave de la Ley de Protección de Datos y que ya se han tomado las medidas adecuadas para que no se repita.

  • Agencia EFE

La Agencia Española de Protección de Datos ha concluido que el fallo de seguridad que se produjo el pasado verano en LexNET, el sistema digital de la Administración de Justicia, supuso una infracción grave de la Ley de Protección de Datos y que ya se han tomado las medidas adecuadas para que no se repita.

La Agencia, en una resolución de 24 páginas firmada por su presidenta, Mar España, considera que la Secretaría General de Nuevas Tecnologías del Ministerio de Justicia es responsable de esa infracción pues debió tomar las medidas necesarias para impedir que los usuarios de LexNET pudieran acceder a los buzones de otros usuarios.

El Ministerio de Justicia, por su parte, ha explicado en un comunicado que tanto esa investigación como la que hizo el CGPJ acreditan que ese fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno

La brecha se produjo en una actualización de LexNET puesta en marcha el 20 de julio de 2017, fue detectada por un usuario el día 27 de ese mismo mes y solventada cinco horas después de ese aviso.

El problema es que se introdujo una modificación en el sistema para solventar el problema de los usuarios que sustituyen legítimamente a otros usuarios, pero no se incorporó una comprobación de los permisos que disponía el usuario activo en el sistema para acceder a buzones de terceros.

Según la Agencia de Protección de Datos, ha quedado acreditado que unos usuarios pudieron acceder a buzones ajenos y a notificaciones efectuadas y traslado de escritos y demandas; también a notificaciones ya aceptadas y a los acuses de recibo de escritos presentados previamente por el usuario, y a notificaciones no practicadas en caso de buzones de procuradores.

Según los datos del Ministerio, en ese episodio, 140 usuarios accedieron de forma irregular a 150 buzones que no les pertenecían y visualizaron 1.023 mensajes de forma no autorizada, aunque no descargaron contenidos.

Otros 74 sí lo hicieron de 431 mensajes consistentes en notificaciones ya practicadas y limitadas a los 60 días anteriores.

Según Justicia, la Agencia da por probado que no se podían manipular documentos, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo, ni presentar escritos en nombre de otros usuarios, así como que no pudieron visualizarse mensajes anteriores a 60 días dado que el sistema borra los datos de forma automática.

Y el número de buzones que pudo verse afectado fue apenas del 0,1 % del total.

Tiene en cuenta la Agencia que Justicia puso en marcha 58 medidas preventivas para garantizar la no repetición del incidente de seguridad y deja constancia de que 27 de ellas ya estaban implantadas y el resto en marcha. El Ministerio ha precisado en su comunicado que son 69 las medidas diseñadas, 55 de ellas ya implantadas.

La Agencia concluye que ha habido una infracción del artículo 9.1 de la LOPD por una deficiente implementación de las medidas de seguridad obligatorias según la naturaleza y el nivel de seguridad asignado al fichero en cuestión.

Y añade que, como se han tomado las medidas adecuadas para que el fallo no se vuelva a repetir, no es necesario requerir la adopción de nuevas medidas.

A este respecto, el senador de Unidos Podemos Joan Comorera ha considerado "gravísimo" lo ocurrido y ha planteado la posibilidad de que existan responsabilidades políticas por el fallo en el sistema.

Lo más visto

  • Letf1:No existe configuración de publicidad para el slot solicitado