La "chapuza Lexnet" ya tiene castigo: España infringió la ley de protección de datos (España)

Fue la mayor crisis a la que se enfrentó el Ministerio de Justicia durante los últimos años. El pasado verano, un fallo informático dejó inoperativo durante días el sistema LexNet. Además, el 27 de julio, un grave fallo de seguridad informática dejó al descubierto más de 11.000 documentos judiciales, parte del código fuente de la plataforma y de la Intranet del propio ministerio. La gravedad no era poca cosa, ya que los profesionales del sector jurídico pudieron acceder incluso a documentos de terceras personas: bastaba con cambiar los IDs que identifican a cada usuario en la URL para acceder a la bandeja de entrada privada de otra persona y a los documentos de cada uno de los procesos judiciales que tenía en marcha.

Desde Justicia se intentó minimizar el impacto de aquel fallo, que muchos expertos jurídicos e informáticos calificaron de "chapuza Lexnet", que se prolongó durante varios días y contó con nuevos episodios. Además, el ministro Rafael Catalá aseguró en sede parlamentaria que la plataforma sólo dejó de ser segura un 0,75% del tiempo y que el problema fue resuelto sin que afectara a la seguridad de los usuarios o de los procesos judiciales. Sin embargo, la Agencia Española de Protección de Datos (AEPD) no opina lo mismo: la plataforma que costó más de 7 millones de euros de dinero público, que puso en entredicho a las empresas que la desarrollaron y que denunció al propio informático que ayudó a desvelar el fallo acaba de ser sancionada por incumplir la Ley de Protección de Datos.

Infringió la seguridad de datos personales

​En el expediente sancionador, la AEPD asegura que la Subdirección General de Nuevas Tecnologías de la Justicia (SGNTJ), dependiente del Ministerio de Justicia, infringió el artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD), que determina que "el responsable de un fichero (...) deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".

No acaba ahí la cosa. Además, Justicia también infringió el artículo 10 de dicha ley, que le obliga al "secreto profesional respecto de los mismos [los datos personales] y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo".

Según la AEPD, por tanto, durante el grave fallo de seguridad de Lexnet "se difundieron datos personales que tenían unos usuarios y pudieron ser vistos por otros usuarios".

La vulneración de estos dos artículos le ha supuesto al Ministerio de Justicia la ejecución de una infracción grave, aunque no habrá sanción efectiva más allá de la publicación de este expediente, ya que la AEPD considera que Justicia "ha tomado las medidas adecuadas para evitar que se vuelva a producir el incidente de seguridad referido".