La AEPD declara que Justicia cometió una infracción grave por la brecha de LexNET
Las investigaciones concluyen que el fallo no afectó a expedientes judiciales
La Agencia Española de Protección de Datos (AEPD) ha hecho pública sus conclusiones sobre la investigación relativa al incidente de seguridad del sistema LexNET que se produjo el pasado mes de julio de 2017. En su resolución, de 15 de marzo, declara probado que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos y que los documentos de las Fuerzas y Cuerpos de Seguridad del Estado y de la Fiscalía no estuvieron expuestos en momento alguno. También declara probado que la brecha de seguridad afectó al buzón de correo de los usuarios de LexNET, y que algunos usuarios visualizaron mensajes de forma no autorizada, y una parte de ellos, consultaron documentos de dichos buzones, igualmente, deforma no autorizada.
Consta acreditado, indica la Agencia, "que unos usuarios de LexNET pudieron acceder a buzones ajenos y acceder a notificaciones efectuadas y traslado de escritos, demandas; acceder a notificaciones ya aceptadas y a los acuses de recibo de escritos presentados previamente por el usuario; acceso a notificaciones no practicadas en caso de buzones de procuradores".
La magnitud de la brecha de seguridad se traduce en las siguientes cifras. Un total de 140 usuarios accedieron de forma irregular a 150 buzones que no les pertenecían y visualizaron 1.023 mensajes de forma no autorizada, aunque no descargaron contenidos. Fueron 74 los que sí lo hicieron de 431 mensajes consistentes en notificaciones ya practicadas y limitadas a los 60 días anteriores. La Agencia da por probado que no se podían manipular documentos, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo, ni presentar escritos en nombre de otros usuarios, así como que no pudieron visualizarse mensajes anteriores a 60 días dado que el sistema borra los datos de forma automática.
La AEPD concluye que se han producido dos infracciones: no adoptar las medidas de seguridad adecuadas para evitar el acceso de terceros a datos protegidos (artículo 9.1 Ley Orgánica de Protección de Datos), y la infracción del deber de secreto (artículo 10 de la ley), al constatarse "la difusión de datos personales fuera del ámbito de los afectados". Dado que la infracción del deber de secreto es consecuencia del fallo en las medidas de seguridad, y por aplicación de la norma que regula el régimen jurídico del sector público, procede subsumir ambas infracciones en una (aquella tipificada como más grave). Por todo ello, la AEPD declara que el Ministerio de Justicia (Subdirección General de Nuevas Tecnologías de la Justicia) ha cometido una infracción grave de la Ley Orgánica de Protección de Datos al no implementar las medidas de seguridad necesarias para evitar la brecha de seguridad en LexNET (artículo 9.1 LOPD).
La AEPD reconoce que el Ministerio de Justicia ha colaborado con total transparencia, lealtad y respeto institucional en las investigaciones y desde el primer momento reconoció el fallo que, debido a un error de programación y control en una actualización de LexNET por parte de la empresa que desarrolla el sistema, permitía a los usuarios acreditados con certificado digital y tras una serie de acciones, acceder al buzón de un tercero. Dado que el error informático que se produjo afectó a determinados ficheros no jurisdiccionales, se ha declarado una infracción en aplicación de la Ley Orgánica de Protección de Datos.
Constata asimismo, los esfuerzos realizados por el Ministerio de Justicia para mitigar el incidente de seguridad y evitar situaciones similares en el futuro. El Ministerio ha diseñado 69 medidas correctivas y preventivas, de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y pruebas. Todo ello hace que, según informa el Ministerio, LexNET sea mucho más seguro que antes del incidente.
Con anterioridad han archivado el expediente de investigación sin infracción alguna, tanto el Consejo General del Poder Judicial, como el Ministerio de Energía, Turismo y Agenda Digital, supervisor de servicios no cualificados de entrega electrónica certificada como es LexNET.
Con la resolución de la Agencia Española de Protección de Datos concluyen las actuaciones que las diferentes autoridades con competencias y los servicios de inspección del Ministerio han venido realizando sobre el incidente de LexNET.
Si quiere saber cómo proteger su empresa frente a los riesgos penales y cumplir con las obligaciones sobre protección de datos, pinche aquí.