La AEPD opina que el Ministerio de Justicia infringió la LOPD con el caso Lexnet

captura de pantalla portal lexnetEl pasado 15 de marzo, la Agencia Española de Protección de Datos (AEPD) publicó una resolución en la que concluía que el Ministerio de Justicia había cometido una infracción grave en relación con el fallo de seguridad del sistema Lexnet el pasado mes de julio de 2017. La polémica despertó mucha expectación y continúa generando disparidad de opiniones. Conversia te lo cuenta en el siguiente post.

¿Qué es el caso Lexnet?

El 27 de julio, un abogado detectó un grave fallo de seguridad informática en el sistema Lexnet, una plataforma que, con un coste de 7 millones de euros, permite el intercambio de información y documentación entre los órganos judiciales y los operadores jurídicos, cuyo uso es obligatorio desde 2016. Este fallo informático dejó al descubierto más de 11.000 documentos judiciales, parte del código fuente de la plataforma y de la Intranet del Ministerio de Justicia. Durante más de una semana, los profesionales del sector jurídico, como abogados o procuradores, pudieron acceder a buzones de otros usuarios y consultar documentos de terceras personas, incluso algunos de ellos de índole sanitario, con un sencillo truco: cambiando el ID de usuario en la URL.

Tras más de medio año de investigaciones, comparecencias y opiniones de expertos en materia de protección de datos, finalmente la AEPD ha resuelto que con el fallo del sistema Lexnet se produjo una infracción calificada como grave según la Ley Orgánica de Protección de Datos (LOPD). La Agencia señala como responsable a la Subdirección General de Nuevas Tecnologías de Justicia, órgano dependiente, en última instancia, del Ministro de Justicia.

De este modo, este organismo habría infringido varios artículos de la LOPD, ya que durante la brecha de seguridad de Lexnet “se difundieron datos personales que tenían unos usuarios y pudieron ser vistos por otros usuarios”.  Algunos de los artículos quebrantados fueron el 9.1, que establece que ““el responsable del fichero (…) deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”. Asimismo, también se habría infringido el artículo 10, el cual obliga al “secreto profesional respecto de los mismos (los datos personales) y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La AEPD sanciona al Ministerio de Justicia por el caso Lexnet

Según el expediente sancionador emitido por la AEPD, la versión de Lexnet que tenía el fallo de seguridad entró en funcionamiento el 20 de julio a las 21:45h, no se detuvo hasta el 27 de julio a las 15:15h, y el mismo día a las 16:25h se sustituyó por una nueva versión. De este modo, Lexnet funcionó durante más de una semana con una versión que presentaba una brecha de seguridad y hacía el sistema vulnerable. Además, los responsables de la plataforma tardaron más de 14 horas desde que un usuario informó de la vulnerabilidad hasta que la misma fue arreglada.

La investigación establece que 284 usuarios accedieron a 692 buzones ajenos, visualizando 1.438 mensajes de forma no autorizada. De estos, 74 usuarios consultaron 79 buzones en los que sí se llegaron a consultar documentos, concretamente 432. Según la resolución se trataba de notificaciones practicadas, traslados de escritos, demandas, notificaciones, partes hospitalarios, entre otros documentos. Estos números representaron que se accedió al 0,1% de los buzones de Lexnet, al 0,02% de los mensajes que se intercambian en un día y al 0,0001% de todos los mensajes que se han intercambiado en dicha plataforma desde el inicio de su operación”.

Por lo que respecta al tipo de cuentas que quedaron expuestas, la investigación establece que se vulneraron aquellas correspondientes a colectivos de abogados, procuradores y graduados sociales, de modo que aquellas cuentas más sensibles, como las correspondientes a la Fiscalía, juzgados, fuerzas y cuerpos de seguridad, medicina legal, abogados del estado, servicios jurídicos de las Comunidades Autónomas y la Seguridad Social, no quedaron afectadas por el incidente.

Las opiniones del Ministerio de Justicia

Por todos los motivos expuestos anteriormente, la AEPD decidió calificar de infracción grave el fallo de seguridad de Lexnet. Sin embargo, el Ministerio de Justicia no opina de la misma forma. Según el Ministerio, con la investigación queda probado que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. Además, el Ministerio de Justicia expone que hicieron esfuerzos para mitigar el incidente y trabajan para evitar situaciones similares en un futuro, diseñando y aplicando más de una cincuentena de medidas correctivas y preventivas.

En caso de haber sido una empresa privada, la multa por una infracción grave oscilaría entre los 40.001 y los 300.000 euros. Sin embargo, el artículo 46.1 de la LOPD establece que las Administraciones Públicas no pueden ser sancionadas económicamente, solamente pueden ser apercibidas. Este fue uno de los motivos de controversia durante el debate de la futura LOPD ya que, según las opiniones de los expertos en la materia, debería suprimirse la gran diferencia existente entre las Administraciones Públicas y el sector privado. No obstante, esta circunstancia parece que seguirá siendo así en la nueva LOPD que se debería aprobar en los próximos meses.

Descubre en este blog de Conversia más noticias relacionadas con la protección de datos.