Sara Antúnez, abogada experta en ciberdelincuencia, ha participado en el Telenoticias 2 para analizar el fallo de seguridad desvelado por Telemadrid que ha comprometido los datos privados de miles de madrileños. Incluso datos de residentes en Madrid como los del rey Felipe VI o los del presidente del Gobierno, Pedro Sánchez, han quedado expuestos.
"Estamos ante una vulneración de la ley de protección de datos", comenta. "Cualquier entidad o administración pública puede tener una brecha de seguridad, pero tiene una serie de obligaciones cuando esto ocurre, como comunicar en las primeras 72 horas a la Agencia de Protección de Datos", explica.
Si los datos expuestos son graves, la empresa o entidad pública debe notificar individualmente a cada una de las personas afectadas para que puedan llevar a cabo sus derechos de oposición o de supresión.
Si pueden haber penas de multa de hasta 10 millones de euros si se incumple esta normativa.
En el mercado negro estos datos pueden tener un gran valor. "Podemos ser víctimas de cualquier ataque y debemos automáticamente solicitar la oposición o supresión para que nadie utilice los datos de malas maneras", comenta la abogada.
Fuentes de la Consejería de Sanidad han reconocido a Telemadrid que este miércoles se detectó "una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid, que afectaba a un enlace que no es de dominio público". "Esta incidencia -añaden- ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad".
"Es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado Covid y que se pueda acceder a información confidencial como datos clínicos del rey, del presidente del Gobierno o de otros expresidentes", indican también.
Concluyen que "en cualquier caso la incidencia no afectaba a datos clínicos y, por supuesto, no comprometía la alteración alguna de información en las bases de datos. "Además, para acceder a esa información se necesitaría el DNI de la persona en cuestión. Insistimos en que ya está bloqueada esa brecha", sentencian.