Protección de datos.
Ciudadanos detecta "intencionalidad" en el "agujero" de la web y pide una auditoría "externa y urgente".
Responde a las críticas del PSOE avisando de que en Ciudadanos "no somos partidarios del oscurantismo"
SEVILLA, 7
El portavoz de Ciudadanos en el Ayuntamiento de Sevilla, Javier Millán, ha manifestado este lunes que la formación naranja sospecha que el "agujero de seguridad" detectado en el apartado de la página web del Consistorio correspondiente a la Agencia Tributaria no fue fruto de algo "fortuito", sino que deriva de acciones "intencionadas". Por eso, ha pedido que toda la página web sea sometida a "una auditoría extraordinaria, urgente y externa".
Según la formación naranja, un "enlace" indexado en el conocido buscador digital Google con destino al apartado de la página web del Consistorio correspondiente a la Agencia Tributaria permitía acceder a un entorno digital de dicha página en el que, con sólo introducir "el DNI" de un vecino de la ciudad, era posible acceder a datos personales de la persona en cuestión, como su domicilio, sus tributos o sus sanciones. Tras denunciar Ciudadanos este extremo, el Ayuntamiento bloqueó el mencionado enlace y anunciaba "una investigación interna para aclarar" la incidencia, elevando en paralelo el asunto a la Fiscalía y el Cuerpo Nacional de Policía.
La página web del Ayuntamiento, en ese sentido, supera anualmente una auditoría de seguridad que tiene que volver a realizarse este próximo mes de octubre, mientras que la página de la Agencia Tributaria está gestionada por "una empresa privada", en concreto Tecnocom. Según el Ayuntamiento, el "origen" del fallo se encuentra en un cambio en el protocolo de seguridad ejecutado en marzo de 2015 por la empresa responsable de la oficina virtual de la Agencia Tributaria, pero Tecnocom alega que se encarga del "desarrollo de contenidos" de la página web, pero no es "responsable de la gestión de la seguridad de acceso ni de otras actividades relacionadas con la explotación" de este portal digital en cuestión.
"NO FUE UN FALLO FORTUITO"
De cualquier modo, Ciudadanos ha celebrado este lunes una nueva rueda de prensa, para avisar de sus "sospechas de que ha habido intencionalidad" en la citada incidencia. "No fue un fallo fortuito", ha considerado Javier Millán, quien ha denunciado el asunto ante la Agencia Española de Protección de Datos y la Fiscalía, que de momento ha decidido no investigar el caso, a la espera de los resultados de la investigación promovida por el propio Ayuntamiento.
Javier Millán, de cualquier modo, ha reclamado una "auditoría externa, urgente y extraordinaria", de toda la página web del Ayuntamiento, especialmente en lo que se refiere al apartado de la Agencia Tributaria. Además, ha pedido que todas las fuerzas políticas del Ayuntamiento puedan "participar" del avance y resultados de la investigación interna promovida por el Ayuntamiento, que imputa la incidencia a un fallo de Tecnocom.
Sobre esa investigación, ha pedido trabajar "al máximo" y que una vez con los resultados en la mesa, "se depuren todas las responsabilidades".
"NO SOMOS PARTIDARIOS DEL OSCURANTISMO"
La multa por los datos publicados puede llegar a los 300.000 euros
La empresa encargada del funcionamiento de la oficina virtual de la Agencia Tributaria de Sevilla podría enfrentarse a una sanción que llegaría hasta los 300.000 euros. Así se desprende de la Ley Orgánica de Protección de Datos (LOPD), que define como infracción grave la falta de protección de información personal, extremo ocurrido en el fallo de seguridad detectado en el enlace relacionado con la Hacienda local. Suerte muy distinta hubiera corrido el Ayuntamiento si la gestión de la web fuera completamente responsabilidad suya, para lo cual la citada ley exime del pago de cualquier multa.
El agujero de seguridad detectado en la web de la Hacienda local atenta contra el artículo 9 de la LOPD. Así lo recuerda el abogado sevillano Pedro Rodríguez López de Lemus, especializado en Derecho de las Nuevas Tecnologías. Este letrado refiere que en dicho apartado se indica que "el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".
Para López de Lemus en la oficina virtual de la Agencia Tributaria "han fallado las medidas de seguridad técnicas que evitan el acceso a la información por personas no autorizadas", puesto que sólo era necesario teclear el DNI de un tercero, requisito que según el abogado es "fácil" de conseguir, pues en cualquier BOE, BOJA o BOP aparecen publicados muchos DNI. "Es probable que la Agencia Española de Protección de Datos (AEPD) pueda considerar vulnerado el artículo 9 de la LOPD y que se haya cometido la infracción descrita en al artículo 44 de dicha ley", refiere el letrado.
Rusia realiza enmiendas a su ley para proteger los datos personales de sus internautas
Este martes han entrado en vigor en Rusia las nuevas enmiendas a la ley sobre la protección de datos personales en Internet. Este cambio obliga a las compañías nacionales y extranjeras a guardar la información privada de los internautas rusos en servidores ubicados en el territorio del país.
Este 1 de septiembre han entrado en vigor en Rusia las enmiendas a la Ley Sobre Datos Personales, vigente desde 2006. Los cambios los aprobaron ambas cámaras del parlamento nacional, según informa la agencia de noticiasInterfax.
Con estas modificaciones, cualquier compañía nacional o extranjera que trabaje con usuarios de Internet rusos debe recopilar, sistematizar y almacenar sus datos personales en bases de datos del país.
Mientras algunas empresas como Booking.com, Uber, Aliexpress, Lenovo y Samsung han comunicado que aceptan estas nuevas reglas federales; otras como Facebook, Apple y Google aún no se han manifestado al respecto. Hasta el momento, no se conoce que el organismo oficial ruso de fiscalización e inspección Rospotrebnadzor -que puede bloquear servicios que no cumplan con la legislación nacional- haya autorizado ninguna sanción.
Con esta nueva versión de la ley, la compañía que trasmita y guarde la información privada de un usuario ruso fuera del país será multada con una cantidad mínima de 300.000 rublos, alrededor de 5.000 dólares estadounidenses. Eso sí, los legisladores precisaron que, de manera excepcional, se pueden almacenar datos de ciudadanos rusos en servidores extranjeros para resolver algunos casos judiciales o alcanzar determinados acuerdos internacionales.
Se trata de una de las leyes más discutidas tanto por la sociedad rusa como por la comunidad profesional, que se enfrenta diariamente a amenazas de la piratería cibernética y el espionaje electrónico.
Un enlace en la web municipal permite acceder a los datos confidenciales de cualquier sevillano
La web del Ayuntamiento de Sevilla incluye un enlace (operativo hasta poco después de la publicación de este artículo), indexado en Google, en el que con solo introducir un DNI quedan a la vista todos los datos confidenciales del sevillano a quien pertenezca ese documento. La situación se produce desde hace al menos seis meses, según ha denunciado el grupo municipal de Ciudadanos.
Los datos a los que cualquiera puede acceder solo con un DNI, sin ningún tipo de certificación digital, incluyen el lugar de residencia, el número de cuenta bancaria, el estado de pago de los tributos municipales, si esa persona acumula deudas o embargos o si ha recibido una multa, además de la fecha y el concepto de la sanción.
Analizan mayor blindaje en protección de datos personales en la salud
Al reconocer que hace falta mayor legislación, se deben crear candados que impidan la difusión de información sensible de los pacientes.
Así lo consideraron especialistas en protección de datos personales ante las implicaciones de posibles filtraciones de esta información en el campo de la salud.
Esto lo dijo el titular de Salud a nivel estatal, Jesús Zacarías Villarreal durante el inicio del Foro Internacional de Protección de Datos Personales en materia de salud.
"El foro pretende por un lado divulgar la información actual, pero también analizar el marco legal para ver hasta donde alcanza en virtud de tanto avance tecnológico", explicó."Va a haber más candados, como legislar en ese sentido, las instituciones de salud y los médicos en particular siempre han protegido los datos personales".
El funcionario estatal especificó que los médicos están obligados a proteger los datos personales de los pacientes por el código de ética que les rige, pero ahora es necesario crear protocolos de protección y sus respectivas sanciones.
Por otra parte, el presidente de la Comisión de Transparencia y Acceso a la Información de Nuevo León, Sergio Mares Morán especificó que tomarán determinaciones en la materia para agregarlas a una iniciativa de Ley sobre protección de datos personales en la que se trabaja.