El consejero de Digitalización, Miguel López-Valverde, ha defendido este martes que las aplicaciones de la Comunidad de Madrid «son seguras» y que se han reforzado sus sistemas para que todos los datos de los ciudadanos «estén encriptados».
Así lo ha manifestado desde la empresa TRC después de que la Agencia Española de Protección de Datos (AEPD) haya apercibido al Gobierno regional por no garantizar la seguridad en el tratamiento de datos personales a través del portal puesto en marcha en junio de 2021 para conseguir el certificado Covid digital al constatar que se pudo acceder a datos de terceros sin su consentimiento.
«En su día se colaboró con la Agencia de Protección de Datos. Lo que hemos hecho ha sido reforzar la seguridad. Todas las aplicaciones que nosotros ponemos en marcha tienen que cumplir con el esquema nacional de seguridad», ha detallado el consejero.
Asimismo, López-Valverde ha subrayado que es «fundamental» velar por los datos de los ciudadanos porque «hay muchísimos tipos de ataques». En este sentido, ha reiterado que toda la información «está encriptada», un refuerzo que se puso en marcha desde «el mismo momento que se vio».
«Hay que recordar que fue una situación de emergencia. Todas las aplicaciones cumplen con todos los parámetros de seguridad y somos muy celosos en el cumplimiento de la misma», ha recalcado el consejero a los medios de comunicación.
LA RESOLUCIÓN
El procedimiento arrancó en 2021 con la presentación de seis reclamaciones por estos hechos, entre ellas una de Facua. Según se indica en la resolución, consta «acreditado» que por un fallo en dicho sistema se permitía el acceso ilegítimo a datos personales (entre ellos de salud) al introducir números de DNI, debido a un error en el procedimiento de validación de usuarios.
Entre otros, se pudo acceder a datos tales como nombre y apellidos, NIF, fecha de nacimiento, teléfono(s) de contacto, CIPA (Código de Identificación Personal Autonómico) y datos relacionados con la administración de la vacuna contra el Covid-19, según se indica en la resolución.
Desde la Agencia Española de Protección de Datos han rechazado estas alegaciones presentadas por la Comunidad y defienden, entre otras cuestiones, que «la vulnerabilidad detectada y aprovechada por terceros para acceder a datos personales de forma ilegítima no se debió tanto a un ataque sofisticado, sino más bien a una negligencia» que la Consejería achaca a «un error humano» y a consecuencia de razones de «extrema urgencia y necesidad».
Así, considera «acreditado» que se vulneró el principio de confidencialidad al haberse constatado que se produjeron accesos indebidos por terceros no autorizados a datos personales de ciudadanos en la citada aplicación web de la Consejería. «Ello supone una vulneración de la obligación de garantizar la confidencialidad de los datos, poniendo de manifiesto un incumplimiento de la obligación de tratarlos de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito», señala.
ACTUACIONES PUESTAS EN MARCHA
Desde la Comunidad de Madrid han recalcado que en los últimos años se han establecido medidas para la mejora continua de la gestión de las crisis y ciberincidencias, centradas en la prevención, detección y respuesta a incidentes de seguridad.
En concreto, se implementaron medidas destinadas a reforzar la seguridad como la revisión del proceso de desarrollo y puesta en producción de aplicativos, como parte del proceso de mejora continua en el ciclo de desarrollo y puesta en marcha de aplicativos.
Todo ello poniendo especial énfasis en el refuerzo de los recursos destinados a la validación previa de la seguridad del aplicativo antes de la entrada en producción, los métodos de realización de auditorías técnicas de seguridad y análisis de código a todos los sistemas de desarrollo propio sin que se pongan en producción hasta solventar las posibles vulnerabilidades detectadas, y la reevaluación de todos los sistemas de desarrollo propio para comprobar que se hayan subsanado las vulnerabilidades con tipología Alta o Crítica, detectadas durante la fase de auditoría.
Además, apuntan desde la Consejería de Sanidad, se revisó la «Guía de estándares para desarrollo de aplicaciones», actualizado las principales áreas a tener en cuenta a la hora de desarrollar aplicaciones, así como las tareas primordiales a la hora de implementar aplicaciones en la estructura de Integración Continua y Despliegue Continuo, con el objeto de disponer de los estándares más actualizados que deben cumplir las aplicaciones desde el punto de vista técnico y funcional, así como los documentos técnicos que describen las plataformas con los que deben integrarse las mismas.
Fuente Europa Press