Varapalo de la Agencia de Protección de Datos a la Xunta por el caso Carioca


17 may 2011



La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento contra la Consellería de Presidencia, Administracións Públicas e Xustiza de la Xunta al detectar serias deficiencias en las medidas de seguridad que deben proteger los datos del sistema informático utilizado en todos los juzgados gallegos. Estas deficiencias, que son catalogadas como «graves» por dicho organismo, salieron a la luz a raíz de un escrito enviado por la jueza Pilar de Lara, por los problemas que surgieron durante la instrucción del caso Carioca.

Como ya informó este diario en su momento, los hechos que la magistrada puso en conocimiento tanto de Xustiza como del Consejo General del Poder Judicial y de la propia AEPD sucedieron en la noche del 6 al 7 de noviembre de 2009, cuando su juzgado se encontraba de guardia y, además, trabajando en la instrucción de este sumario, en el que se investigan las supuestas relaciones del mundo de la prostitución en Lugo con algunos miembros de los cuerpos de seguridad del Estado.

Sobre la medianoche, una incidencia impidió a sus funcionarios acceder a dicho procedimiento. Además, el día 8 del mismo mes se comprobó que no se podía tener acceso al sumario, que el sistema era incapaz de encontrar.

Los responsables de la Consellería de Xustiza investigaron este suceso y elaboraron un informe en el que achacaban lo sucedido a la puesta en marcha del sistema Minerva, el programa informático desarrollado por el Ministerio de Justicia para todo el territorio nacional y que funciona en las 49 sedes judiciales de Galicia. Según dicho informe, el sistema, de manera automática, realiza un barrido informático sobre las 23.30 horas de cada día para realizar copias de seguridad. Al estar en ese momento introduciendo datos dentro del sumario del caso Carioca, el sistema generó un error que hizo desaparecer el registro de cabecera del procedimiento, aunque se restauró el día 9 de noviembre desde la copia de seguridad, sin que se llegara perder ni un sólo dato de esta investigación. Además, se constató que nadie que no estuviera autorizado para consultarla accedió a la instrucción.

Pese a todo, la jueza Pilar de Lara envió las correspondientes quejas a la Agencia de Protección de Datos, cuyos técnicos procedieron a realizar una inspección en el propio juzgado, en la Secretaría Xeral de Modernización Tecnolóxia de la Xunta y en las instalaciones de la empresa Tecnocom, que es la contratada por la Xunta para gestionar los servicios informáticos de los juzgados gallegos. Esos técnicos realizaron las inspecciones del 21 al 24 de junio del año pasado, y en base a sus indagaciones la Agencia de Protección de Datos emitió el pasado 26 de mayo una resolución en la que responsabiliza a la Consellería de Xustiza de haber cometido una infracción grave de la ley de protección de datos, en particular por «mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen». La sanción que contempla dicha normativa para estos casos es una multa de entre 40.000 y 300.000 euros.

Además, la AEPD exige a Xustiza que en el plazo de cuatro meses adopte una serie de medidas para evitar que esta situación pueda repetirse en el futuro en cualquiera de las sedes judiciales gallegas. La primera medida es «implementar un mecanismo que permita registrar todos los accesos a los procedimientos judiciales, que estarán bajo el control directo del responsable de seguridad». Por otro lado, obliga a Xustiza a someter su seguridad informática a una consultoría, externa o interna, además de establecer «procedimientos para que los usuarios autorizados a acceder a ficheros automatizados no puedan extraer información.

Por último, la Xunta deberá crear «normas y recursos para la destrucción de los soportes y documentación con datos de carácter personal», revisar el control de acceso de los usuarios a los procedimientos judiciales y mejorar la seguridad de procesos que puedan causar pérdida de información.

Sin registro de accesos y con demasiados usuarios.

Los técnicos de la AEPD detectaron en su análisis del incidente sobre el procedimiento de la operación Carioca que en el momento en que sucedió no había operativo ningún un registro para controlar quién accedía a los sumarios. Además, constató que en este caso se habían creado más códigos de usuario de los necesarios. No obstante, parece descartado que hubiera fuga o pérdida de información.

Enlace permanente