Acceso área privada colegiados


Introduzca sus datos de acceso:


¿Ha olvidado su contraseña?

MENÚ
INFORMACIÓN DE SEDES

Noticias y actualidad


Els mitjans de comunicació valoren de forma diferent l'informe de l'Agència de Protecció de dades relatiu a la fallada de LexNet

Notícies Jurídiques


11 ABR 2018


FONT: EL CONFIDENCIAL
 

La "chapuza Lexnet" ja té càstig: Espanya va infringir la llei de protecció de dades

El ministre de Justícia va defensar al Congrés la seva actuació en la crisi de Lexnet, però l'AEPD no està d'acord: li ha imposat una infracció greu per incomplir les condicions de seguretat.

10.04.2018 – 09:14 H.

Va ser la major crisi a la qual es va enfrontar el Ministeri de Justícia durant els últims anys. El passat estiu, una fallada informàtica va deixar inoperativo durant dies el sistema LexNet. A més, el 27 de juliol, una greu fallada de seguretat informàtica va deixar al descobert més d'11.000 documents judicials, part del codi font de la plataforma i de la Intranet del propi ministeri. La gravetat no era poca cosa, ja que els professionals del sector jurídic van poder accedir fins i tot a documents de terceres persones: bastava amb canviar els IDs que identifiquen a cada usuari en la URL per accedir a la safata d'entrada privada d'una altra persona i als documents de cadascun dels processos judicials que tenia en marxa.

Des de Justícia es va intentar minimitzar l'impacte d'aquella fallada, que molts experts jurídics i informàtics van qualificar de "nyap Lexnet", que es va perllongar durant diversos dies i va comptar amb nous episodis. A més, el ministre Rafael Catalá va assegurar en seu parlamentària que la plataforma només va deixar de ser segura un 0,75% del temps i que el problema va ser resolt sense que afectés a la seguretat dels usuaris o dels processos judicials. No obstant això, l'Agència Espanyola de Protecció de Dades (AEPD) no opina el mateix: la plataforma que va costar més de 7 milions d'euros de diners públics, que va posar en dubte a les empreses que la van desenvolupar i que va denunciar al propi informàtic que va ajudar a desvetllar la fallada acaba de ser sancionada per incomplir la Llei de Protecció de Dades.

Va infringir la seguretat de dades personals

En l'expedient sancionador, l'AEPD assegura que la Subdirección General de Noves Tecnologías de la Justícia (SGNTJ), dependent del Ministeri de Justícia, va infringir l'article 9.1 de la Llei Orgànica de Protecció de Dades (LOPD), que determina que "el responsable d'un fitxer (...) haurà d'adoptar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat".

No acaba aquí la cosa. A més, Justícia també va infringir l'article 10 d'aquesta llei, que li obliga al "secret professional respecte dels mateixos [les dades personals] i en deure guardar-los, obligacions que subsistirán àdhuc después de finalitzar les seves relacions amb el titular del fitxer o, si escau, amb el responsable del mateix".

Justícia va vulnerar el principi de seguretat de les dades en modificar el programa d'accés a bústies d'altres usuaris de Lexnet

Segons l'AEPD, per tant, durant la greu fallada de seguretat de Lexnet "es van difondre dades personals que tení*an uns usuaris i van poder ser vists per altres usuaris".

La vulneració d'aquests dos articles li ha suposat al Ministeri de Justícia l'execució d'una infracció greu, encara que no hi haurà sanció efectiva més enllà de la publicació d'aquest expedient, ja que l'AEPD considera que Justícia "ha pres les mesures adequades per evitar que es torni a produir l'incident de seguretat referit".

Vuit dies amb un sistema vulnerable

No és l'única 'estirada d'orelles' que l'AEPD li dóna al Ministeri de Justícia. En l'expedient sancionador també es recull que "la versión de Lexnet que tenía la bretxa de seguretat es va posar en producción el 20 de juliol a les 21:45h, es va detenir a les 15:15h del 27 de juliol i se substitueixó per una nova versión a les 16:25h", amb el que Lexnet va funcionar durant més d'una setmana amb un sistema informàtic vulnerable.

A més, els responsables de la plataforma no van ser precisament ràpids, ja que el primer avís de vulnerabilitat es va produir "mitjançant un missatge privat al compte de Twitter de Lexnet aproximadament a les 02:00h (matinada) del dijous 27 de juliol de 2017" i després "la mateixa persona [el lletrat José Molguis] envió un missatge pú*blico per Twitter aproximadament a les 9:30h del mateix vaig donaŕa en el qual es manifestava có*mo explotar la vulnerabilitat de l'incident".

Van passar més de 9 hores des que Lexnet va rebre el primer avís de vulnerabilitat fins que ho va abordar, i més de 14 hores fins que ho va arreglar

No obstant això, "el sotsdirector de la Subdirección General de Noves Tecnologías de la Justícia va ser informat d'això "entre les 10:30h i les 11h". A continuació, "entre les 11:30h i les 14h es van realitzar verificacions exhaustives, per comprovar si el comportament era anuśdolent o un problema puntual d'un ónico usuari". Finalment, "a les 14h "es deté el sistema” i “a les 16:20h l'error de programación que va produir l'incident de seguretat aquestá solucionat”.

En resum, van passar més de 9 hores des que Lexnet va rebre el primer avís de vulnerabilitat fins que ho va abordar, i més de 14 hores fins que l'error es va esmenar... per tornar a fallar poc després

284 usuaris van accedir a 692 bústies alienes

Segons la recerca recopilada per l'AEPD, 284 usuaris van accedir a 692 bústies que no els pertenecí*an, realitzant 1.438 visualitzacions de missatges de forma no autoritzada. D'ells, 74 usuaris van accedir a 79 bústies que no els pertenecí*an i van consultar 432 documents de forma no autoritzada.

Però, a quin tipus d'informació aliena es va poder accedir durant gairebé vuit dies? Segons l'AEPD, "a les notificacions practicades, trasllat d'escrits, demandes, notificacions, parts hospitalaris, etc., a les notificacions ja acceptades, als justificants de recepció dels escrits presentats prèviament per l'usuari i a les notificacions no practicades en cas de bústies de procuradors".

"Es va accedir a notificacions, trasllat d'escrits, demandes, parts hospitalaris..."

Els tipus de compte que van quedar exposades van ser "les corresponents als col·lectius d'advocats, procuradors i graduats socials. Altres comptes dt.́s sensibles", assegura l'AEPD, "com les corresponents a la Fiscalía, jutjats, forces i cossos de seguretat, medicina legal, advocats de l'estat, serveis jurídics de les CC.AA i Seguretat Social, no estaven afectades per l'incident".

En total, durant aquest període de temps es va accedir "al 0,1% de les bústies de Lexnet, al 0,02% dels missatges que s'intercanvien en un dia, al 0,0001% de tots els missatges que s'han intercanviat en la plataforma Lexnet des de l'inici del seu operación", encara que no es pot saber fins a quin punt els documents vulnerats eren més o menys determinants.

La qüestió, en qualsevol cas, és evident: malgrat que el Ministeri de Justícia va llevar ferro a l'assumpte i el ministre Rafael Catalá va assegurar al Congrés que "el problema va ser resolt sense que afectés a la seguretat dels usuaris o dels processos judicials", la veritat és que, segons l'AEPD, la cosa va ser molt més allà: el Govern va infringir la Llei Orgànica de Protecció de Dades i, segons els experts, Lexnet tornarà a fallar abans o després.


FONT LACERCA.COM


Les recerques conclouen que la fallada de LexNET no va afectar a expedients judicials

CGPJ i AEPD confirmen que no es van veure afectats fitxers jurisdiccionals ni documents de les Forces i Cossos de Seguretat de l'Estat i de la Fiscalia

Una vegada que s'han fet públiques per part de l'Agència Espanyola de Protecció de Dades1 (AEPD) les seves conclusions sobre la recerca relativa a l'incident de seguretat del sistema LexNET que es va produir el passat mes de juliol de 2017, ha quedat provat que la fallada no va afectar a fitxers jurisdiccionals ni a expedients complets i que els documents de les Forces i Cossos de Seguretat de l'Estat i de la Fiscalia no van estar exposats en moment algun. ja que en LexNET no existeixen expedients complets, el nombre de documents que es van veure afectats va ser molt limitat i s'estima que el nombre de bústies que va poder veure's perjudicat amb prou feines va ser el 0,1%.

L'AEPD reconeix que el Ministeri de Justícia2 ha col·laborat amb total transparència, lleialtat i respecte institucional en les recerques i des del primer moment va reconèixer la fallada que, a causa d'un error de programació i control en una actualització de LexNET per part de l'empresa que desenvolupa el sistema, permetia als usuaris acreditats amb certificat digital i després d'una sèrie d'accions, accedir a la bústia d'un tercer. Atès que l'error informàtic que es va produir va afectar a determinats fitxers no jurisdiccionals, s'ha declarat una infracció automàtica en aplicació de la Llei Orgànica de Protecció de Dades.

Un total de 140 usuaris van accedir de forma irregular a 150 bústies que no els pertanyien i van visualitzar 1.023 missatges de forma no autoritzada, encara que no van descarregar continguts. Van ser 74 els que sí ho van fer de 431 missatges consistents en notificacions ja practicades i limitades als 60 dies anteriors. L'Agència dóna per provat que no es podien manipular documents, accedir a comunicacions que no haguessin estat obertes prèviament per l'usuari legítim, ni presentar escrits en nom d'altres usuaris, així com que no van poder visualitzar-se missatges anteriors a 60 dies atès que el sistema esborra les dades de forma automàtica.

Constata així mateix, els esforços realitzats pel Ministeri de Justícia per mitigar l'incident de seguretat i evitar situacions similars en el futur. El Ministeri ha dissenyat 69 mesures correctivas i preventives, de les quals 55 ja s'han implementat i la resta es troba en fase de desenvolupament i proves. Tot això fa que avui LexNET sigui molt més segur que abans de l'incident.

Amb anterioritat han arxivat l'expedient de recerca sense infracció alguna, tant el Consell General del Poder Judicial3, com el Ministeri d'Energia4, Turisme i Agenda Digital5, supervisor de serveis no qualificats de lliurament electrònic certificat com és LexNET.

Amb la resolució de l'Agència Espanyola de Protecció de Dades conclouen les actuacions que les diferents autoritats amb competències i els serveis d'inspecció del Ministeri han realitzat sobre l'incident de LexNET.

últimas noticias

La Procura participarà en el DATAfórum: l'esdeveniment que analitza els avanços tecnològics en l'Administració de Justícia

07 NOV 2024

El gran fòrum anual del sector de la Justícia se celebrarà en el Paranimf PTS de la ...


Ricardo Garrido, nou president del Consell General de Procuradors d'Espanya

28 OCT 2024

Madrid, 25 d'octubre del 2024. Ricardo Garrido, exdecano del Col·legi de Procuradors d'Orense, s'ha ...


Mutualistes, sí que es pot: Una jutgessa concedeix a una procuradora de 74 anys una pensió malgrat no arribar al mínim cotitzat

23 ABR 2024

La titular del Jutjat social 8 de Santa Cruz de Tenerife suma al RETA les aportacions de la professional a la ...


mostrar todas las noticias

NOTICIAS Y ACTUALIDAD



VIA ALEMANIA, 5, Edificio Juzgados
07003, PALMA DE MALLORCA, ILLES BALEARS


Tel. 0034 971 723 912 · 0034 971 723 913

BÚSQUEDA DE INFORMACIÓN

CONTACTO / INFORMACIÓN LEGAL

© 2024 · Todos los derechos reservados a www.procuradoresdebaleares.es - Diseño Web y desarrollo Webstyle

Utilizamos cookies propias y de terceros para realizar el análisis de navegación de los usuarios y mejorar nuestros servicios. Si continuas navegando, consideramos que acepta su uso. Puedes obtener más información y configurar tus preferencias aquí. Configurar Cookies - Política de privacidad.

SEDES MALLORCA


 Ciudad de Palma

 Vía Alemania, 5- semisótano

 Tel. 971 723 912 / Fax 971 715 941


 Travessa d’en Ballester, 20

 Tel. 971 425 111 / Fax 971 710 349

 Inca

 c/ Pureza, 72

 Tel/Fax 971 883 883

 Manacor

 Pza. Creu Font i Roig, s/n

 Tel/Fax 971 554 452

SEDE MENORCA


 C/ Antoni Juan Alemany, 4

 Tel/Fax 971 351 557

SEDE IBIZA


 C/San Cristòfol,s/n (Edif. CETIS)

 Tel/Fax 971 315 475