La filtración de datos médicos de Lexnet se queda en infracción sin sanción

La Agencia Española de Protección de Datos (AEPD) ha tildado de "grave" el error del sistema operativo LexNet que provocó que abogados y procuradores de España pudieran acceder libremente a todos los procedimientos judiciales del resto de profesionales del sector, muchos de ellos de índole sanitaria. El fallo informático que dejó inoperativo durante ocho días el sistema LexNet ha acarreado la imposición de una "infracción grave" al Ministerio de Justicia por incumplir las condiciones de seguridad.

En un documento de 24 páginas, la AEPD ratifica que el Ministerio (Subdirección General de Nuevas Tecnologías de la Justicia) infringió lo dispuesto en el artículo 9.1 de la Ley de Protección de Datos al haberse constatado la publicación de estos documentos tras "una deficiente implementación de las medidas de seguridad obligatorias según la naturaleza y el nivel de seguridad asignado al fichero en cuestión".

---

El fallo informático dejó inoperativo 8 días el sistema LexNet

---

Aunque desde Justicia se intentó minimizar el impacto de aquel fallo y el ministro Rafael Catalá aseguró en sede parlamentaria que la plataforma "solo dejó de ser segura un 0,75 por ciento del tiempo", el expediente sancionador de la AEPD afirma que la Subdirección General de Nuevas Tecnologías de la Justicia (Sghtj), dependiente del Ministerio de Justicia, infringió el artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD). Determinan que "el responsable de un fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".

Además, el organismo también acusa a Justicia de haber infringido el artículo 10 de la Ley de Protección de Datos pues son responsables de la privacidad de los documentos hasta "después de finalizar sus relaciones con el titular del fichero".

Pero, pese a que el expediente ha supuesto la ejecución de una infracción grave, el Ministerio de Justicia no tendrá sanción efectiva ya que la AEPD considera que Justicia "ha tomado las medidas adecuadas para evitar que se vuelva a producir el incidente de seguridad referido".

Los datos de Lexnet

Según la investigación recopilada por la AEPD, 284 usuarios accedieron a 692 buzones que no les pertenecían, realizando 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 usuarios accedieron a 79 buzones que no les pertenecían y consultaron 432 documentos de forma no autorizada.

Según la AEPD, durante estos ocho días se pudo acceder "a las notificaciones practicadas, traslado de escritos, demandas, notificaciones, partes hospitalarios, etc".

Sin sanción por las medidas adoptadas

La Agencia de Protección de Datos asegura que no se debe imponer una sanción porque la Subdirección General De Nuevas Tecnologías De La Justicia Ministerio De Justicia ha puesto en marcha tras el error 58 medidas preventivas para garantizar la no repetición del incidente de seguridad. 

Entre las medidas destacan la creación de la Oficina de Seguridad, un convenio de colaboración con el CCN, la creación de un Centro de Control, la creación de una Oficina de Gestión del Servicio, la mejora de la calidad del código, la revisión de la ejecución de comandos o el acceso a datos, la revisión de la gestión de la autenticación, el filtrado adecuado de datos, la revisión de los esquemas de autorización, la prevención de suplantación al usuario, la eliminación de la posibilidad de filtrado de datos sensibles, la actualización de los componentes software, la mejora de la configuración de seguridad de los sistemas de información, la mejora de estrategias de detección de ataques y otros aspectos organizativos y legales.

Sin entrar a describir los detalles técnicos de la misma, el AEPD tiene constancia que veintisiete de dichas medidas ya se han implementado, mientras que el resto de ellas se encuentran en desarrollo o fase de pruebas.