Señalan infracciones graves por el agujero de la web municipal

Publicado: 20/10/2016
Protección de Datos atribuye a la Agencia Tributaria de Sevilla una infracción leve y otra grave como consecuencia del agujero de seguridad denunciado por C's
La Agencia Española de Protección de Datos ha atribuido a la Agencia Tributaria de Sevilla, perteneciente al Ayuntamiento hispalense, una infracción leve y otra grave de la Ley Orgánica de Protección de Datos, como consecuencia del "agujero de seguridad" denunciado en 2015 por Ciudadanos en cuanto al apartado de la página web municipal referido a dicha entidad, declarando no obstante las "medidas adoptadas" por la Agencia Tributaria ante la citada situación.

En una resolución fechada el 18 de octubre y consultada por Europa Press, la Agencia Española de Protección de Datos trata el "agujero de seguridad" denunciado en septiembre de 2015 por Ciudadanos, y después por Facua, en cuanto al apartado de la página web del Ayuntamiento de Sevilla correspondiente a la Agencia Tributaria. La oficina virtual tributaria se encuentra en la web oficial del Ayuntamiento, si bien bajo gestión externalizada en favor de la empresa Tecnocom.

Según denunciaba entonces la formación naranja, un "enlace" indexado en el conocido buscador digital Google con destino al apartado de la página web del Consistorio correspondiente a la Agencia Tributaria permitía acceder a un entorno digital de dicha página, en el que con sólo introducir "el DNI" de un vecino de la ciudad, era posible acceder a datos de la persona en cuestión, como su domicilio, sus tributos o sus sanciones, por ejemplo. Tras denunciar Ciudadanos este extremo, el Ayuntamiento bloqueó el mencionado enlace y anunciaba "una investigación interna para aclarar" la incidencia.

LA EMPRESA SE EXIME

Mientras el Ayuntamiento, merced a su investigación interna, exponía que la incidencia derivaba de un cambio en el "protocolo de seguridad" ejecutado en marzo de 2015 por la empresa responsable de la oficina virtual de la Agencia Tributaria, Tecnocom, la citada empresa defendía por aquel entonces que estaba "encargada del desarrollo de contenidos web para la oficina virtual del Ayuntamiento de Sevilla", pero no era "responsable de la explotación" de la misma y, por tanto, tampoco de "la gestión de la seguridad de acceso ni de otras actividades relacionadas con la explotación, como el suministro de infraestructura, administración y comunicaciones que dan soporte a dicha web".

De cualquier manera, ante esta incidencia, el Ayuntamiento decidió entre otras cosas adelantar a septiembre de aquel año la auditoría anual de seguridad de su página web, que estaba prevista para octubre, así como promover una revisión concreta de la oficina virtual de su Agencia Tributaria y de los protocolos y responsables del conjunto de la seguridad informática y electrónica del Consistorio.

De cualquier modo, en la citada resolución de la Agencia Española de Protección de Datos se concluye que los hechos constituyen una infracción leve del artículo 12.2 de la Ley de Protección de Datos, que determina que "la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas".

Además, detecta una infracción "grave" del artículo nueve, según el cual "el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

No obstante, la Agencia de Protección de Datos declara que la Agencia Tributaria ha "adoptado medidas adecuadas para impedir que en el futuro pueda producirse de nuevo" la situación denunciada, así como para "la identificación y autentificación de los ciudadanos que acceden a su sistema de información", también para "impedir" hechos similares.

© Copyright 2024 Andalucía Información