Ficheroslopd.com

Un informático de 26 años, especialista en protección de datos, descubrió que a través de la web del INEM se podía acceder a todos los datos personales no sólo de los parados, sino de todos aquellos que hubieran estado apuntados a las listas del paro alguna vez. Pero, como las cosas de Palacio van despacio, arreglar el problema ha tomado más de 1 año

...

Una de las cosas que para mi son un error en la LOPD, es que el regimen de multas sólo alcance a los ficheros registrados por el sector privado y no se pueda multar a los diferentes organismos públicos por sus meteduras de pata en la protección de datos. Uno de lor ejemplos más conocidos es el del INEM, que ha demorado más de 1 año en solucionar su error informático, sin recibir ninguna multa

La Agencia Española de Protección de Datos (AEPD) ha sancionado al Servicio Público Estatal de Empleo (conocido por sus anteriores siglas, INEM) por un agujero informático en su web que permitía a cualquiera con conocimientos de la materia acceder a los datos privados de cualquier persona que hubiera estado apuntada en algún momento a las listas del paro. El hecho fue denunciado por Samuel Parra, experto en protección de datos que ya fue noticia cuando condenaron a Periodista Digital por plagiarle. Los hechos se remontan a una época en la que estaba en el paro. Según informa 20 minutos, había sido sancionado por no sellar la tarjeta del paro el día que le correspondía, de modo que dejó de percibir la prestación equivalente a un mes de paro, unos mil euros. Al acceder al apartado de la web en el que se puede renovar la demanda de empleo, es decir, "sellar" virtualmente la tarjeta del paro, vio que se veían todos los datos personales que había facilitado al servicio de empleo al que se podía acceder en esta dirección, sustituyendo YYYYYYYY por el DNI de Samuel Parra:

http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos

El informático descubrió que bastaba con cambiar su DNI por el de cualquier otro para acceder a todos los datos de esa otra persona. Es un error similar al que cometió el CIS en su día, sólo que mucho más grave. Cualquiera podría haberse puesto a generar números de DNI y probarlos para tener acceso a todo tipo de datos sensibles. Así, Samuel Parra denunció en diciembre de 2008 el grave problema de seguridad, lo que llevó a la condena de la AEPD, de diciembre de 2009, que no ha sido recurrida.

La demora en la solución del problema puede ser debido a que la  Ley Orgánica de Protección de Datos exime a las administraciones de cualquier tipo de sanción económica. Así, por ejemplo, la AEPD impone a las empresas privadas un buen número de multas que en 2008, por ejemplo, sumaron más de 21 millones de euros, las administraciones públicas no deben hacer pago alguno. Así, la AEPD no ha tenido problema en imponer 361.208 euros a Iberia por perder los datos de un solo cliente o 1 millón de euros a Endemol por colgar los datos de los participantes en Gran Hermano. Pero haber mantenido durante más de uno año un agujero de seguridad que permitía acceder a los datos de todas las personas que alguna vez han estado suscritas al INEM, e incluso modificarlos, no lleva a ninguna sanción a los responsables más que la obligación de corregir el fallo.

Ojalá exista también una presión económica para las administraciones públicas, para evitar que los fallos detectados no se resuelvan rápidamente.