El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.
Entre las pruebas que ha aportado Telemadrid ante la Policía Nacional está información, enlaces web y capturas de navegador con ejemplos de datos privados de ciudadanos. Entre ellas, pantallazos con datos personales del rey Felipe VI o del presidente del Gobierno; y un vídeo explicativo de cómo se pudo acceder a la web y qué parámetros había que cambiar para acceder a los datos personales del titular del DNI, así como los sanitarios de la vacunación.
Tras presentar la denuncia a la Policía Nacional, Telemadrid pondrá en conocimiento los hechos ante la Fiscalía de Madrid para que investigue cuánto tiempo "pudo estar vigente la fuga de datos", según ha explicado el medio autonómico.
La Comunidad de Madrid ha reconocido la existencia de la brecha y bloqueado el acceso al portal del certificado COVID durante la tarde de este miércoles. Fuentes de la Consejería de Sanidad han explicado a elDiario.es que "la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha". Pese a ello, la Comunidad de Madrid publicó un tuit en el que calificaba la noticia de "bulo".
La brecha "ha quedado solventada en horas tras ser detectada por los servicios de calidad", según fuentes de Sanidad. No obstante, elDiario.es tiene constancia de que la Comunidad de Madrid fue avisada por expertos en ciberseguridad de la peligrosa situación que estaba provocando su sistema del certificado COVID.
La organización de consumidores FACUA también ha denunciado a la Comunidad de Madrid ante la Agencia Española de Protección de Datos (AEPD) por la brecha de seguridad que se produjo este miércoles en su portal para obtener el certificado digital COVID. Facua señala que lo ocurrido incurriría en una vulneración del artículo 6 del Reglamento General Protección de Datos de la UE y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que lo califica como una falta "muy grave".
Se trata de la tercera denuncia de Facua ante la AEPD contra la administración que dirige Isabel Díaz Ayuso por posibles violaciones del derecho de privacidad de los ciudadanos. La segunda también se refirió a una brecha de seguridad en la Consejería de Sanidad destapada por elDiario.es. En esa ocasión, el fallo de programación se produjo en el sistema de autocita para la vacuna del coronavirus. La Comunidad de Madrid cerró la brecha tras ser notificada de su existencia por este medio.
Si (
No(
