El blog de Carlos Díaz-Pache » LOPD

Entradas etiquetadas: LOPD

La DGT permite acceder a los datos del pago de las multas de otras personas

Dirección General de Tráfico

Dirección General de Tráfico

Otra vez es Samuel Parra el que nos avisa de un nuevo error en la web de la DGT. En este caso, el sistema permite conocer los sancionados por multas de tráfico y los datos del pago de las multas.

La Dirección General de Tráfico está acumulando una serie de errores en su sede electrónica que amenazan con estigmatizar sus sistemas y minar su reputación. Hace poco conocíamos que la Agencia Española de Protección de Datos había la sancionado por incumplir la ley con su aplicación de consulta de los puntos del carnet, y que a pesar de ello no tenían intención de modificar la aplicación.

Lo que conocemos ahora es un modo sencillo de acceder a los datos de los justificantes de pago de las multas de tráfico. Para ello solo tenemos que conectarnos a la siguiente dirección:

https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf

A continuación, sin solicitar ningún tipo de identificación mediante usuario/password, certificado digital o DNI electrónico, se solicita el número de registro del recibo de pago. Ese número de registro tiene un formato similar a «2010005000113***». Los cuatro primeros dígitos corresponden al año, y los últimos seis son números secuenciales. Solamente introduciendo este dato, se nos ofrecerá un documento en formato PDF con la siguiente información:

  • Nombre y apellidos (o razón social)
  • DNI/NIE
  • Número de expediente sancionador
  • Fecha de pago
  • Importe de la sanción
  • Número de autorización de la tarjeta
  • Número de operación

Deduciendo el formato de este número, y probando con los números anteriores o posteriores al de nuestra sanción, nos encontramos con los resguardos de otras personas, con sus datos abiertos y sin ningún tipo de protección.

Esto supone, a todas luces, una nueva vulneración de la LOPD, que en sus artículos 9 y 10 establecen que el responsable del fichero debe establecer las medidas técnicas necesarias para garantizar la seguridad de los datos y tiene el deber de guardarlos y mantener su secreto.

Habiendo leyes que regulan desde hace tiempo este tipo de cuestiones (LOPD, LAECSP, Ley 59/2003 de firma electrónica, Esquema Nacional de Seguridad, etc.), habiendo especialistas en informática, en administración electrónica, en legislación de protección de datos, existiendo el Consejo Superior de Administración Electrónica, habiéndose implementado sistemas seguros en otras administraciones (tanto de la AGE como de las administraciones regional y local), llama poderosamente la atención que aparezcan todavía sistemas sin ningún tipo de seguridad y que incumplen de manera tan clara estas normas.

Quizás sea por el hecho de que la Administración pueda decir que no va a modificar un sistema que la AEPD ha declarado ilegal, y aquí no pase nada.

Tráfico infringe la ley con la consulta de los puntos del carnet y no piensan cambiarlo

Permiso por puntos

Permiso por puntos

Leo en el blog de Samuel Parra que la Dirección General de Tráfico fue advertida hace un año por la Agencia Española de Protección de Datos de que su sistema para la consulta de los puntos del carnet de conducir no cumplía la Ley Orgánica de Protección de Datos de caracter personal.

Resulta que los únicos requisitos para poder consultar los puntos son conocer el DNI y la fecha de expedición del carnet, no disponiendo la aplicación de un sistema de control de intentos fallidos. Este hecho posibilita que un simple script puede obtener el saldo de puntos de cualquier persona únicamente contando con el número del DNI, que es un dato que es habitualmente fácil de conseguir.

En su resolucion 00372/2009 (PDF), la AEPD advierte que

Ha quedado acreditado que la Dirección General de Tráfico incumplió esta obligación, toda vez que desde su página web se permite el acceso de cualquier persona al saldo de puntos de cualquier titular de un permiso de conducir, con sólo insertar el número del permiso y la fecha de expedición del mismo. Es decir, la Dirección General de Tráfico incumplió las medidas de seguridad al posibilitar que, por parte de terceros, se pudiera acceder a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.

La DGT, por lo tanto, comete una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de de la citada Ley Orgánica.

Pero lo malo no es que la DGT incumpla la ley. Admitiría que, por desconocimiento o por torpeza, hayan diseñado o implementado un sistema que no sea lo suficientemente seguro y que, por lo tanto, exponga datos privados a todos. Lo realmente grave es que, a pesar de las advertencias, a pesar del requerimiento oficial de la AEPD para que «adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 9 de la LOPD«, a pesar de todo ello, la DGT se niegue a modificar el sistema.

El responsable de informática de la DGT, Luis de Eusebio, declaró en una entrevista en El Mundo, que «Cualquier rectificación iría contra la comodidad actual de los conductores«, argumento que le sirve para justificar la transgresión de la ley. Según manifiesta en la entrevista, «Sólo ve como alternativas exigir certificado digital a quien pretenda acceder a su saldo de puntos o deshacer el camino virtual y abrir ventanilla en las jefaturas de Tráfico a las consultas para puntos. La primera opción la considera difícil; la segunda, imposible.»

Cuando el responsable de informática de un organismo público ve muy difícil la utilización de un certificado digital (¿qué pasa con el DNI-e?) y justifica con la comodidad el incumplimiento de la ley, se explica el retraso de la administración pública en la utilización de una tecnología que hace más fácil la vida a los ciudadanos y retrata a todo el organismo al que representa.

Enmascaramiento de datos en la Administración

Leo en Microsiervos sobre la «anonimización» de los datos, algo en lo que también se ha fijado Enrique Dans en su blog, en el que habla de «reidentificación». Ambos se refieren a un artículo de Ars Technica denominado «‘Anonymized’ data really isn’t -and here’s why not», algo así como «Datos anónimos que realmente no lo son -y aquí está el por qué».

En ese artículo se habla de un estudio que revela que un 87% de los estadounidenses pueden ser identificados en una base de datos utilizando únicamente su código postal, sexo y fecha de nacimiento, o como dicen en Microsiervos, «¿cuántas personas en tu distrito postal puede haber nacido exactamente en la misma fecha que tú y ser también hombre o mujer como tú?». El estudio añade que más de la mitad de los norteamericanos pueden ser también identificados de forma unívoca disponiendo simplemente de su fecha de nacimiento, localidad y sexo, haciendo poco eficaces los sistemas que tratan de evitar que se relacionen unos datos estadísticos con una identidad concreta.

Que se esté dudando de la efectividad de ciertos modos de hacer anónimos unos datos me sirve de introducción para hablar de su enmascaramiento en el ámbito de la Administración. En un momento en el que nuestros datos personales se replican cada vez en más lugares, unos de ellos controlados y otros totalmente fuera de control (pese a los esfuerzos de la AEPD), la Administración Pública, responsable de custodiar datos muy sensibles sobre todos nosotros, no solo no puede quedarse al margen de su protección, sino que debería liderarla.

A pesar de que casi siempre los entornos de producción tienen unos niveles de seguridad razonables, existen entornos de formación, desarrollo o pre-producción que no siempre cuentan con las mismas garantías. En muchas ocasiones, las bases de datos con información personal están expuestas a la mirada (¿y a la copia?) de un conjunto muy importante de personas que participan en los distintos proyectos, cuyo acceso a datos reales no es en absoluto necesario, haciendo posible una fuga de datos y vulnerando la confidencialidad.

Para evitar estos problemas existen diversos métodos de enmascaramiento de datos (data masking) que indican a las bases de datos el modo de mezclar la información sin perder la integridad referencial pero evitando que pueda vincularse a una persona real concreta. De este modo, las aplicaciones que utilizan estas bases de datos pueden seguir trabajando con ellas sin problemas aunque los desarrolladores visualizan datos aparentemente reales pero que no lo son.

El enmascaramiento de datos es una solución infrautilizada, y no sólo en la Administración. Noel Yuhanna, analista de Forrester, cree que estas soluciones terminarán siendo una característica estándar de cualquier entorno de gestión de bases de datos o aplicaciones empresariales. Yo también lo creo, y además creo que estos sistemas deben ser determinantes en el nuevo capítulo de la guerra por la privacidad de los datos personales.

Se ha avanzado mucho en la legislación que trata de impedir su recopilación, copia, distribución o utilización fraudulenta, pero deben articularse también los mecanismos técnicos a nuestro alcance para proteger la privacidad de los ciudadanos.

Panorama Theme by Themocracy