• Publicidad
  • Boletín Gratis
  • Hazte Socio
Confidencial Digital Confidencial Digital
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

Una brecha de seguridad en el Ayuntamiento de Madrid deja al descubierto la identidad de los conductores del SER

El Instituto Nacional de Ciberseguridad recibió el aviso de un usuario que detectó que podía consultar los datos personales de otros vecinos

Parquímetro en una calle de Madrid.
Parquímetro en una calle de Madrid.
A.R.E.
A.R.E.
Actualizado: 22/03/21 | 18:37
Etiquetas:
Madrid Ayuntamiento de Madrid Protección de Datos Reglamento Europeo de Datos Agencia Española de Protección de Datos Servicio de Estacionamiento Regulado

La Agencia Española de Protección de Datos ha analizado durante meses una brecha de seguridad de datos personales que le notificó el Ayuntamiento de Madrid. El consistorio de la capital de España había sido advertido de un acceso no autorizado a los justificantes de autorizaciones como personas residentes del servicio de estacionamiento regulado de vehículos de Madrid.

En febrero de 2020 el Ayuntamiento de Madrid notificó a la agencia que se había encontrado esa brecha de seguridad.

La Subdirección General de Arquitectura y Seguridad de Informática del Ayuntamiento comunicó el 7 de febrero de 2020 por correo electrónico a la Dirección General de Sostenibilidad y Control Ambiental, responsable del servicio de estacionamiento regulado de vehículos de Madrid (SER), la información que acababa de recibir del Instituto Nacional de Ciberseguridad (INCIBE) referida a un posible incidente de seguridad que afectaba a la web movilidad.madmovilidad.es.

Alerta al Instituto de Ciberseguridad

Un usuario había alertado del incidente al INCIBE. Al parecer, en esa página era posible acceder a justificantes de autorizaciones de terceros residentes del SER, en los que constaba el nombre, apellidos y DNI de la persona autorizada, así como la matrícula del vehículo.

El ayuntamiento comprobó que, efectivamente, simplemente cambiando un dígito en la URL donde los usuarios del SER tramitan sus autorizaciones, podían consultar los datos personas de terceras personas.

Además, también se abrió expediente por una brecha de seguridad de datos personales notificada por el Ayuntamiento de Madrid “relativa a la comunicación por un ciudadano a través de correo electrónico sobre una reclamación que había interpuesto en el Ayuntamiento en el año 2015 y que aparece publicada en Internet haciendo una búsqueda a través de Google”.

El consistorio había modificado en agosto de 2019 el Sistema de Información de Sugerencias y Reclamaciones (SyR) para el envío de las contestaciones a las sugerencias y reclamaciones presentadas en el ayuntamiento.

El ayuntamiento tuvo conocimiento de que “algunos usuarios habían publicado en redes sociales el enlace facilitado y a raíz de la comunicación del ciudadano se procedió desde el Organismo Autónomo Informática Ayuntamiento de Madrid (IAM) a la eliminación de toda indexación de páginas en cualquier buscador de internet, actuando prioritariamente sobre Google”.

Los informáticos del ayuntamiento actuaron para que no se mostrara “ningún enlace de respuesta que el usuario haya decidido publicar en cualquier página de internet, como foros, blogs, etc. Esta actuación a través del fichero robot.txt afecta a todos los buscadores”.

 

Por todos estos hechos, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos descritos. Como entidad investigada se catalogó al Ayuntamiento de Madrid.

Nombre, apellidos, DNI, matrícula...

El consistorio madrileño aseguró que “el número de registros de datos afectados son cuatro, es decir, exactamente el número de personas afectadas por el incidente, de los que confirma que se produjo acceso por el tercero que lo notificó al INCIBE” a los siguientes datos:

-- Nombre y apellidos.

-- DNI.

-- Matrícula de vehículo.

-- Denominación de la zona del SER a la que corresponde la autorización.

El ayuntamiento comunicó a Protección de Datos que no tenía conocimiento de que hubieran sido utilizado por terceros esos datos personales obtenidos mediante el acceso no autorizado a los registros del Servicio de Estacionamiento Regulado.

Un error formal obliga al archivo

En noviembre de 2020 la directora de la Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador contra el Ayuntamiento de Madrid, “por la presunta infracción de los artículos 32, 33, 34 y 35 del RGPD en relación con el artículo 5.1.f) del RGPD y por la presunta infracción del artículo 5.1.f) del RGPD”.

El artículo 32 del Reglamento General de Protección de Datos obliga a las entidades que manejan información a “la seudonimización y el cifrado de datos personales” y a garantizar “la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.

El 33 regula las obligaciones de notificación en caso de violación de la seguridad de los datos personales, el 34 establece que “cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.

Por último, el artículo 35 obliga a realizar una evaluación de impacto de la protección de datos por el uso de las tecnologías.

Pese a que tenía pretensiones de investigar al Ayuntamiento de Madrid por todas esas posibles infracciones, la directora de la Agencia Española de Protección de Datos archivó el caso. Tomó esa decisión por un defecto formal: “El acuerdo de inicio [del expediente] adolece de vicio de nulidad de pleno derecho al incoar en un solo expediente dos hechos distintos realizados por diferentes responsables” de tratamientos de datos.

La brecha de seguridad del Servicio de Estacionamiento Regulado (SER) era responsabilidad de la Dirección General de Sostenibilidad y Control Ambiental, adscrita al Área de Gobierno de Medio Ambiente y Movilidad, mientras que el incidente relacionado con la página de “Sugerencias y Reclamaciones” correspondía a la Dirección General de Transparencia y Calidad, adscrita al Área de Gobierno de Vicealcaldía.

Antes de cerrarse la investigación, el Ayuntamiento de Madrid informó de todas las acciones que puso en marcha para corregir la brecha de seguridad con los datos de los usuarios del Servicio de Estacionamiento Regulado.

Movilizó a las cuatro empresas que gestionan las zonas azul y verde de Madrid en régimen de concesión directa, y bloqueó el acceso a la aplicación de trámites del SER. Durante unos días quien intentó acceder a esa página sólo veía unos códigos de error “HTTP Status 404 -Not Found” y “HTTP Status 503 - Service unavailable” hasta que se implementó la solución definitiva el 13 de febrero de 2020.

Etiquetas:
Madrid Ayuntamiento de Madrid Protección de Datos Reglamento Europeo de Datos Agencia Española de Protección de Datos Servicio de Estacionamiento Regulado

Video del día

6 de cada 10 de los que van en bici o en
patinete en ciudad no llevan casco
Más en Vivir
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato
Enviar una noticia