El Ayuntamiento de Sevilla deja al descubierto cientos datos personales

Hasta hace sólo unas horas, era posible consultar todos los datos tributarios de los sevillanos a través de la web del Ayuntamiento de Sevilla debido a un fallo de seguridad en dicha página web. Este agujero de seguridad ha dejado al descubierto los datos personales de la ciudadanía de Sevilla, durante al menos, un periodo de seis meses.

Cómo se podía acceder a los datos personales

Para consultar los datos, solamente, había que acceder a la web desde un enlace que ofrecía Google tras realizar una búsqueda relativa al Ayuntamiento de Sevilla. Tras pinchar en dicho enlace, se era posible realizar cualquier consulta con tan sólo teclear el DNI de la persona sobre la cual se deseaba saber algo. Ni siquiera era necesario teclear un usuario, clave, o uso certificado de firma digital personal.

El-Ayuntamiento-de-Sevilla-deja-al-descubierto-cientos-datos-personales-2

Falta de Privacidad en la web del Consistorio de Sevilla

En las consultas era posible encontrar datos sobre embargos, deudas, multas, datos de cuenta bancaria, direcciones postales, etc, de miles de sevillanos. De acuerdo con el RD 1720/2007 sobre el desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal., al tratarse de datos de carácter personal a los cuales hay que aplicar un nivel de seguridad medio:

  • Art. 98: El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Además de las básicas:

  • Art. 93:
    • El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
    • El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

El Ayuntamiento de Sevilla no será sancionado económicamente

A pesar de que los hechos ya han sido denunciados ante la Agencia Española de Protección de Datos por la agrupación política Ciudadanos, una vez realizadas las averiguaciones y requerimientos por parte de la AEPD, en ninguno de los casos supondrá una sanción económica para el Consistorio. Las Administraciones Públicas y Cuerpos de Seguridad no pueden ser penados económicamente en caso de incumplir la legislación referente a privacidad y protección de datos,

La Web del Ayuntamiento de Sevilla deja al descubierto cientos datos personales

de acuerdo con el artículo 46 de la LOPD. Como mucho, el Director de la AEPD dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción, pudiendo proponer el inicio de actuaciones disciplinarias, quedando las sanciones establecidas por el régimen disciplinario de las Administraciones Públicas.

En el caso de que este mismo suceso hubiera ocurrido bajo la responsabilidad de una persona física o jurídica, el régimen sancionador hubiera sido distinto. En este escenario, los hechos pudieran haber sido considerados como una infracción grave, pudiendo ascender la cuantía de la una hipotética sanción entre los 60.101,21 € y 300.506,25 €, de acuerdo con el articulo 44.3.h, ya que se no se han mantenido los programas que contienen los datos de carácter personal sin las debidas condiciones de seguridad.

Desde SEVILLA LOPD, siempre aconsejamos la supervisión de expertos en la materia relativa a la Privacidad y Protección de Datos para tener la seguridad que los sistemas informáticos cumplen con el Reglamento. De esta manera, vamos a evitar que se pudiera deteriorar la imagen pública de nuestra marca o empresa y, especialmente, no verse sujeto al pago de las fuertes sanciones que impone la AEPD.

Para cualquier consulta se pueden poner en contacto con nosotros aquí.