El Defensor

El Defensor del Pueblo Andaluz es una Institución creada para la protección de los derechos y las libertades de los andaluces.

Su intervención es gratuita, sencilla y reservada. Actúa de manera independiente, con transparencia y objetividad.

Contáctanos

Ayuda

Reclamamos más medidas para que no vuelvan a producirse los fallos de protección de datos en la web municipal del Ayuntamiento de Sevilla

Resolución del Defensor del Pueblo Andaluz formulada en la queja 15/4327 dirigida a Ayuntamiento de Sevilla

El Defensor del Pueblo Andaluz formula resolución ante el Ayuntamiento de Sevilla, por la que recomienda que, si no lo hubiere llevado a cabo ya, adopte las medidas necesarias para garantizar la privacidad, confidencialidad y seguridad de los datos personales, impidiendo que en el futuro puedan producirse accesos indebidos a las bases de datos personales que maneja la Agencia o la empresa gestora, estableciendo un contrato o compromiso específico y con nombramiento de responsables; así como con medidas concretas y adecuadas para la identificación y autentificación de quienes accedan al sistema.

ANTECEDENTES

I.- Por noticias aparecidas en diversos medios de comunicación digital, al momento de iniciar las actuaciones (septiembre de 2015) esta Institución del Defensor del Pueblo Andaluz tuvimos conocimiento de que desde hacía unos seis meses existía un fallo grave de seguridad en la página web de la Agencia Tributaria del Ayuntamiento de Sevilla, página que a su vez se encontraba alojada en la propia web del Consistorio.

Al parecer, según las citadas fuentes informativas, desde un enlace indexado por el buscador Google, y simplemente con introducir el DNI/NIF se podía acceder a los datos privados de cualquier ciudadano empadronado en el municipio (nombre, direcciones, cuentas corrientes, embargos,etc.). Este fallo en la seguridad parecía no proceder de la página web municipal, donde no se había detectado problema alguno, sino en la página de la Agencia Tributaria municipal que resultaba independiente de la web municipal, pese a estar alojada en su portal, correspondiendo su gestión y seguridad a la entidad ... SL, empresa especializada que resultó adjudicataria del contrato.

Pues bien, dado que los hechos descritos podían suponer una vulneración del derecho a la intimidad y a la seguridad de los ciudadanos, contenidos en el Título primero de la Constitución, especialmente el derecho fundamental a la protección de datos, decidimos iniciar actuaciones de oficio.

En este sentido, se estimó procedente dirigir escrito al Excmo. Ayuntamiento de Sevilla, a través del cual solicitar la evacuación de informe acerca de la cuestión planteada, y en concreto en relación a las medidas adoptadas tanto en la subsanación del fallo, como en la depuración de responsabilidades.

II.- En su respuesta primera el Ayuntamiento nos indicó que el fallo de seguridad ya no existía a la fecha de la respuesta (20 de octubre de 2015) y que el mismo no había sido grave, según indicaba la empresa adjudicataria del servicio ... SL, que concluía “En base a las comprobaciones que se efectuaron el jueves tres de septiembre, se identificó un código determinado como posible causante del problema. Se procedió a la corrección de este código de forma inmediata y se realizaron la pruebas para confirmar que ya nos se producía el acceso no controlado. Una vez comunicadas a la Gerente de la Agencia las actuaciones realizadas y la constatación de la resolución del problema y a su petición expresa, se restableció el servicio, sobre las 18 horas de ese mismo jueves 3 de septiembre”.

Igualmente, continuaba el informe reseñado que respecto a la protección de datos, la Agencia de Protección de Datos había levantado Acta de Inspección en fecha 16 de septiembre de 2015 (E/5706/2015/I-01), a consecuencia de la denuncia presentada ante la misma por la quiebra de seguridad en la web de la Agencia Tributaria municipal, que permitía el acceso a datos personales de los ciudadanos utilizando como identificación para el acceso el número NIF.

Por la empresa adjudicataria se habría indicado a la Agencia Tributaria que la incidencia “se produce a partir del cambio en el modo de acceso a la Oficina Virtual y en resumen que “no se ha tratado tratado por tanto, de un ataque contra los servidores y aplicaciones del Ayuntamiento de Sevilla, ni se ha hecho un uso masivo del formulario en cuestión, por lo que el impacto del citado fallo ha sido mínimo...”; añadiendo que para tratar de resolver de forma inmediata el problema, se procedió a la desactivación temporal de la Oficina Virtual en explotación.

Como medidas para exigencia de responsabilidades la Agencia nos informaba que mediante Resolución de la Gerencia numero 910/2015 de 28 de septiembre se requirió a la Empresa ... SL, responsable del error “que adopte cuantas medidas sean necesarias para evitar que se llegue a producir un incidente como el acontecido, extremando la diligencia debida en la protección de los datos de carácter personal, bajo el apercibimiento de que de reincidir en deficiencias en la ejecución del contrato se aplicarían las penalidades previstas en el pliegos de clausulas administrativas particulares firmados”.

III.- Mientras tramitábamos la queja tuvimos conocimiento -otra vez por noticias hechas públicas en los medios de comunicación e información, a finales de octubre de 2015- de la producción y generación de otro fallo de seguridad en la web de la Agencia Tributaria Local, que dejaba ver todos los datos relacionados con los impuestos municipales, deudas pendientes con la Hacienda local, datos personales de sujetos pasivos personas físicas y/o jurídicas, e incluso los números de las cuentas corrientes en las que estaban domiciliados los recibos.

Por tal razón, volvimos a dirigir en fecha 4 de diciembre de 2015 petición de colaboración solicitándole al Ayuntamiento la ampliación del informe anterior, a los efectos de conocer las acciones emprendidas por la Gerencia tras tener conocimiento del nuevo problema de protección de datos en la web.

En especial, le solicitamos nos informara detalladamente sobre la aplicación de las medidas que se anunciaban en la respuesta anteriormente reseñada, en relación con la exigencia de responsabilidades a la empresa concesionaria, conforme a las cláusulas de penalización establecidas en las condiciones administrativas particulares de los pliegos firmados, para el caso de que se repitiera el problema.

La respuesta municipal recibida esta vez, ya en marzo de 2016, tras algún reitero de colaboración formulado por nuestra parte, nos indicaba que la Alcaldía, mediante Resolución 848/2015 de 29 de octubre, suscrita por el Teniente de Alcalde Delegado de Hacienda y Administración Pública, encomendó a la Gerencia de la Agencia Tributaria el inicio de procedimiento de información reservada para aclarar los nuevos hechos .

Por la Gerencia -se nos indicaba en el informe municipal-, aceptando la encomienda se acordó requerir diversos informes sobre lo ocurrido al Instituto Tecnológico del Ayuntamiento de Sevilla; al Departamento de Administración de la Agencia Tributaria; al Departamento de Recaudación y Relaciones con el Contribuyente; a la Empresa ...SL; a la Jefa del Proyecto de mantenimiento del Sistema Integrado de Gestión Tributaria y Recaudación y al Jefe de Grupo Técnico Auxiliar-Programador del Departamento de Informática de la Agencia Tributaria de Sevilla, sin perjuicio de que se pueda ampliar la información.

En la respuesta indicada y respecto a la exigencia de responsabilidades a la empresa referida, se nos indicaba por el Ayuntamiento que a la fecha de su informe -3 de marzo de 2016- aún no contaban con unas conclusiones claras y determinantes del origen de la incidencia, por lo que aplicando el principio de prudencia aun no habían adoptado ninguna decisión al respecto.

No fue sino hasta el 17 de mayo de 2016, cuando desde la Agencia Tributaria de Sevilla se nos remitía el informe final sobre este asunto, incluyendo el histórico de las actuaciones llevadas a cabo, la reseña de los informes solicitados, las referencias y reseña de contenido de las resoluciones de trámite formuladas al respecto por los diversos órganos intervinientes, conclusiones y la resolución 479/2016, de 11 de mayo de 2016, de la Gerencia, con el siguiente contenido en su parte dispositiva:

Primero: Considerar que el incidente de seguridad no se puede calificar como una vulnerabilidad del sistema ni como un error en el diseño de esta aplicación informática.

Segundo: Considerar que la incidencia de seguridad provocada en la Oficina Virtual se ha producido involuntariamente, ya que en ningún modo obedece a un diseño o desarrollo preconcebido por parte de esta Agencia Tributaria.

Tercero: Considerar que la repercusión ha sido mínima, se han subsanado sobre la marcha y se han adoptado de inmediato medidas preventivas y correctoras, dentro del marco del Plan de Actuación que actualmente se encuentra en fase de desarrollo e implementación y que se ha puesto en marcha por parte de esta Agencia Tributaria, en colaboración con ..., S.L. como empresa responsable del desarrollo y mantenimiento de la Oficina Virtual.

Cuarto: Considerar necesario cubrir la plaza de Director del Departamento de Informativa de la Agencia Tributaria de Sevilla, que en la actualidad no existe ningún responsable que coordine el funcionamiento del Departamento ni existen el Director Funcional ni el Director Técnico del Proyecto que son los que deben relacionarse con la empresa adjudicataria.

Quinto: Considerar con las medidas adoptadas subsanados los defectos ocurridos que al ser involuntarios se considera que no es procedente adoptar alguna medida sancionadora.”

Sobre los antecedentes e información expuestos, la Institución del Defensor del Pueblo Andaluz, desea efectuar las siguientes

CONSIDERACIONES

Primera.- El tratamiento y la Protección de Datos de carácter personal cedidos a las Administraciones.

Por la documentación y respuesta recibida del Ayuntamiento y de la Gerencia de la Agencia Tributaria de Sevilla, se desprende que el organismo referido es receptor de una serie de datos de identificación y personales (domicilio fiscal, NIF, titularidad de cuentas de ahorro para domiciliaciones de pago, etc, etc.) que los contribuyentes ceden a la Administración de tributaria referida con el objetivo y finalidad de que, incorporados a sus respectivos ficheros y bases de datos, sean utilizados en forma adecuada a la normativa de Protección de Dato en los procedimientos de gestión tributaria y recaudatoria por la Administración municipal en este caso.

El tratamiento de esa información y datos particulares, como los que cualquier usuario haya facilitado a la citada Agencia Tributaria por cualquier vía instrumental y procedimental, ha de ser respetuoso de la confidencialidad de los mismos, y conforme a las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD): los datos nunca serán cedidos, vendidos o traspasados a terceros.

De forma y manera que recae sobre el organismo gestor el deber de guardarlos, adoptando las medidas necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado; o cesión, previo consentimiento del interesado, y excepciones legales a tal consentimiento previo.

Tales obligaciones de la Administración concernida y del responsable designado en la materia se hallan establecidas en los Artículos 9 (seguridad de los datos), 10 (deber de secreto) y 11 (comunicación de datos).

Igualmente, debemos referir que el responsable del fichero y correcto tratamiento de los datos de los ficheros de la Agencia Tributaria del Ayuntamiento de Sevilla, en relación a este asunto era la persona titular de la Gerencia de la misma.

Segunda.- Los principios generales de aplicación en el ámbito de la Administración electrónica.

Las Administraciones públicas por aplicación de la eficiencia, proclamada como principio de funcionamiento de las mismas en el Articulo 103 de la Constitución, tenían la obligación de transformarse en una administración electrónica.

Para el cumplimiento de esa obligación, la Ley 11/2007, de 22 de junio, de acceso electrónico (entonces vigente y de aplicación en la materia, al momento de producirse la cesión de datos y su filtración), vino a establecer una serie de principios generales a modo de protección o respeto de los derechos de los ciudadanos frente a la Administración electrónica que comenzaba a instaurarse en aquellos momentos.

Así, debieron tenerse muy presentes los principios generales establecidos en el artículo 4, a) y f) de la Ley 11/2007, de 22 de junio, citada, que establecía:

«La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos, y ajustándose a los siguientes principios:

a) El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la Ley Orgánica 15/1999, de Protección de los Datos de Carácter Personal, en las demás leyes específicas que regulan el tratamiento de la información y en sus normas de desarrollo, así como a los derechos al honor y a la intimidad personal y familiar. (…)

f) Principio de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, en cuya virtud se exigirá al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa.»

Tercera.- Del derecho a una buena administración y los principios rectores de la actuación administrativa.

Como norma fundamental del ordenamiento jurídico propio, el Estatuto de Autonomía para Andalucía (art. 31) garantiza el derecho a una buena administración, que comprende el derecho de todos ante las Administraciones Públicas, a participar plenamente en las decisiones que les afecten, obteniendo de ellas una información veraz, y a que sus asuntos se traten de manera objetiva e imparcial y sean resueltos en un plazo razonable.

Por su parte, de acuerdo con el artículo 103 de la Constitución, esa Administración debe actuar de acuerdo con una serie de principios, entre ellos, los de eficacia y sometimiento a la ley y al Derecho.

Al respecto hemos de señalar cómo el articulo Artículo 13 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, ya en vigor desde el 2 de octubre de 2016 a estos efectos, estableció Derechos de las personas en sus relaciones con las Administraciones Públicas. Así establece:

«Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, de los siguientes derechos:

(…)

e) A ser tratados con respeto y deferencia por las autoridades y empleados públicos, que habrán de facilitarles el ejercicio de sus derechos y el cumplimiento de sus obligaciones. (...)

h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.»

Cuarta.- Las circunstancias e irregularidades que habrían concurrido en las actuaciones descritas.

En el presente caso parece acreditado que el procedimiento seguido por la Agencia Tributaria de Sevilla para la ejecución y supervisión del contrato de mantenimiento del Sistema Integrado de Gestión Tributaria y de Recaudación del Ayuntamiento no resultó el más adecuado en aras de la garantía del derecho a la protección de datos, y no se ajustó a las previsiones de seguridad de los ficheros, conforme a lo establecido en la Ley Orgánica de Protección de Datos, cuyo articulo 12.2 demanda:

«2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.»

Según se desprende de la información recibida y conforme a lo comprobado por la Agencia Española de Protección de Datos (Resolución R/02621/2016), el documento contractual en que se materializó el compromiso de mantenimiento del sistema referido, no contemplaba las medidas de seguridad que llevarían a cabo tanto la Agencia como ...SL para proteger el fichero de datos que manejaban. No había designado ni un Director ni un Responsable de proyecto nombrado por el Ayuntamiento (Agencia Tributaria).

Por otra parte, como hemos referido antes al enunciar los principios a tener en cuenta en la actuación en materia de manejo y tratamiento de datos protegidos por las Administraciones públicas, en un primer momento se incumplió con la obligación establecida en el articulo 9 de la citada LOPD, que dispone: “el responsable del fichero y, en su caso, el encargado de su tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal”.

Por cuanto antecede, en ejercicio de las facultades y atribuciones que a esta Institución confiere el Articulo 29.1 de la Ley 9/1983, de 1 de Diciembre del Defensor del Pueblo Andaluz, se formula a la Agencia Tributaria de Sevilla, la siguiente

RESOLUCIÓN

RECORDATORIO del deber de cumplir los anteriormente citados preceptos legales.

RECOMENDACIÓN: en el sentido que si no lo hubiere llevado a cabo ya, adopte las medidas necesarias para garantizar la privacidad, confidencialidad y seguridad de los datos personales, impidiendo que en el futuro puedan producirse accesos indebidos a las bases de datos personales que maneja la Agencia o la empresa gestora, estableciendo un contrato o compromiso específico y con nombramiento de responsables; así como con medidas concretas y adecuadas para la identificación y autenticación de quienes accedan al sistema.

Ver asunto solucionado o en vías de solución.

Ver cierre de actuación de oficio.

 

Jesús Maeztu Gregorio de Tejada Defensor del Pueblo Andaluz

Si quiere presentar una queja o una consulta pinche en el siguiente enlace

Escribir un comentario

Texto plano

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.

Sus datos personales están protegidos.

0 Comentarios

  • Defensoría de la Infancia y Adolescencia de Andalucía
  • Otras defensorías e Instituciones
  • Sede electrónica
  • Nuestro compromiso
  • Parlamento de Andalucía