Madrid
Ni agujero de seguridad ni error informático: el sistema de acceso a sentencias íntegras, sin anonimizar y con todos los datos de las partes a la vista, no requiere más que el Código Seguro de Verificación (CSV), que sirve para cotejar la autenticidad de esos escritos. Es decir, simplemente con ese código, cualquiera puede entrar sin necesidad de autenticarse o pasar la más mínima medida de seguridad. Así, la difusión de los datos personales de la víctima de 'La Manada' podría repetirse en otros casos si se distribuyan sentencias con el CSV.
Un CSV es una serie de números y letras, generada de forma aleatoria, que identifica un documento y suele estar impreso en alguna parte del mismo. En el caso de la sentencia de 'La Manada', se encontraba en el lateral de cada una de las páginas de la misma.
En la página web del Ministerio de Justicia, la opción de usar un código CSV para cotejar una sentencia original, o sea, con todos los datos personales a la vista, está accesible para todo el mundo —literalmente, a "cualquier persona"— y sin necesidad de tener certificado digital alguno, a través del portal de la Sede Judicial Electrónica.
Existe ahí una herramienta en la que se puede obtener cualquier sentencia sin anonimizar de cualquier juzgado que no dependa de alguna de las comunidades autónomas con la competencia de Justicia trasferida. Es decir, funciona con sentencias de primera instancia de juzgados de Baleares, Castilla y León, Extremadura, Castilla-La Mancha, Murcia, Ceuta y Melilla, así como las generadas por instancias superiores centrales.
En este caso, ni siquiera existe un simple sistema de doble verificación que exija, por ejemplo, algún dato extra para poder acceder al documento. "Para acceder a una sentencia con todos los datos, basta el CSV”, comenta a este diario el abogado especializado en tecnología David Maeztu, que remarca que "esto se sabía ya", un hecho del que otro experto en protección de datos personales, Samuel Parra, ya había alertado el pasado 27 de abril.
El propio Parra, en declaraciones a Público, se queja de que lleva diciendo que este sistema de verificación es problemático “como unos siete u ocho años”, y comenta que el problema puede llegar a ser muy grave si alguien rompe el algoritmo que genera los CSV, es decir, si logra encontrar un patrón y programar un bot que los genere al azar.
“¿Por qué no esperamos al CENDOJ (Centro de Documentación Judicial), cuyos sistemas han costado un pastón, para distribuir y publicar la sentencia ya anonimizada?”, se pregunta este experto, que añade: “No pasa nada porque los medios se esperen un poco, no creo que sea necesario publicar la sentencia íntegra al minuto”, sugiere.
Acceso directo a sentencias originales
En el caso de la web del Ministerio de Justicia, toda sentencia entregada a la prensa en las mismas condiciones en las que se entregó la que condenó a los miembros de ‘La Manada’ por parte del Tribunal Superior de Justicia de Navarra (TSJN) —desde cuyo gabinete de prensa, recordemos, fue distribuida a los medios— es susceptible de provocar una fuga de datos personales, aunque se anonimice. Con el CSV disponible, como ya se ha explicado, es posible acceder a una copia del documento original.
Eso ya no pasa en Navarra —que tiene las competencias de Justicia trasferidas— y, afortunadamente, es imposible acceder a la sentencia de ‘La Manada’, simplemente porque el sistema de acceso telemático de la Justicia navarra es independiente del ministerial y el acceso ha quedado restringido. Eso sí, después de que el pasado sábado saltase a los titulares.
No obstante, desde la web del Ministerio el sistema funciona perfectamente para el resto de los territorios sin competencias en Justicia, como ha podido comprobar este diario.
“La sentencia con los CSV es la que se entrega a las partes, para que puedan cotejar con la original” para, por ejemplo, ver que no han sido manipuladas tras su anonimización. David Maeztu no comprende cómo “los responsables de prensa de los tribunales (como ha sido este caso), o alguna de las partes, difunden esa sentencia” con el Código Seguro de Verificación. “Todos los que estamos en un procedimiento judicial sabemos lo que se puede hacer con ese código”, remarca, “y lo grave en este caso es que se publique una sentencia anonimizada, sí, pero con ese código”.
La responsabilidad
La responsabilidad de que la sentencia fuese accesible a causa de la difusión del CSV recaería, en el caso de 'La Manada', en la administración de Justicia y en última instancia, en el Estado. En este sentido, Maeztu subraya que podría existir una responsabilidad patrimonial por difusión de datos .
“La Agencia de Protección de Datos (AEPD) no tiene competencia sobre el Poder Judicial ya que, según una sentencia de 2012 de la Audiencia Nacional, el Poder Judicial no puede estar fiscalizado por la AEPD, que depende del Poder Ejecutivo", puntualiza este abogado, que sostiene que el interesado afectado por la divulgación de los datos podría exigir compensaciones económicas por ello a la administración de Justicia a través de un procedimiento de responsabilidad patrimonial.
Por su parte, el abogado especializado Carlos Sánchez Almeida considera que “la Ley de Protección de Datos vigente, y la que viene, sólo sanciona con apercibimientos las fugas de datos de organismos públicos”, y no con multas. “Tenemos un Ministerio que encargó unos sistemas informáticos que, lo que está claro, es el mayor dispendio de dinero público con menores resultados en materia de protección de datos”, concluye Almeida.
Tanto la AEPD como un juzgado de Madrid, así como el CGPJ, investigan lo ocurrido con la sentencia de 'La Manada'. Pero mientras tanto, el sistema de cotejo mediante CSV sigue abierto y activo en la web de Justicia.
"No está previsto modificar este sistema"
Fuentes oficiales del Ministerio de Justicia informan a Público de que "no está previsto modificar este sistema actual de cotejo de documentos, que está plenamente implantado en la Administración General del Estado". No obstante, añaden las mismas fuentes, "una de las líneas de trabajo permanentemente abiertas en el Ministerio de Justicia es la mejora constante de los protocolos de seguridad de los servicios de tecnología".
"En el ámbito de la Administración de Justicia", recuerdan desde el ministerio, "el Código Seguro de Verificación aparece en todos los documentos judiciales electrónicos firmados digitalmente".
"En el caso de procedimientos judiciales", apuntan, "este sistema está pensado para que las partes personadas en el mismo puedan recuperar un documento judicial electrónico asociado a ese procedimiento judicial con su firma original mediante el código que figura en la versión impresa de dicho documento", es decir, el citado CSV.
¿Te ha resultado interesante esta noticia?
Comentarios
<% if(canWriteComments) { %> <% } %>Comentarios:
<% if(_.allKeys(comments).length > 0) { %> <% _.each(comments, function(comment) { %>-
<% if(comment.user.image) { %>
<% } else { %>
<%= comment.user.firstLetter %>
<% } %>
<%= comment.user.username %>
<%= comment.published %>
<%= comment.dateTime %>
<%= comment.text %>
Responder
<% if(_.allKeys(comment.children.models).length > 0) { %>
<% }); %>
<% } else { %>
- No hay comentarios para esta noticia.
<% } %>
Mostrar más comentarios<% _.each(comment.children.models, function(children) { %> <% children = children.toJSON() %>-
<% if(children.user.image) { %>
<% } else { %>
<%= children.user.firstLetter %>
<% } %>
<% if(children.parent.id != comment.id) { %>
en respuesta a <%= children.parent.username %>
<% } %>
<%= children.user.username %>
<%= children.published %>
<%= children.dateTime %>
<%= children.text %>
Responder
<% }); %>
<% } %> <% if(canWriteComments) { %> <% } %>