La AEPD sanciona al Ministerio de Justicia por una infracción de la LOPD con su sistema Lexnet

La AEPD sanciona al Ministerio de Justicia por una infracción de la LOPD con su sistema Lexnet

Te informamos de en qué consiste la sanción que ha impuesto la Agencia Española de Protección de Datos al Ministerio de Justicia por la infracción de la obligación del deber de secreto.

La plataforma Lexnet

Lexnet es una plataforma de intercambio seguro de información usada en la Administración de Justicia que comenzó a funcionar en el año 2004. Incluye, también a la Abogacía del Estado y los Graduados Sociales.

Su programa es parecido al de webmail que permite, previa identificación con certificado y firma electrónica con una tarjeta criptográfica, enviar notificaciones a profesionales desde los juzgados con efectos legales plenos.

Actualmente Lexnet cuenta con más de 52.000 usuarios, se utiliza en más de 3.500 órganos judiciales y se cuentan por más de 160.000.000 las comunicaciones producidas.

Los límites de la normativa de Protección de Datos en el sistema Lexnet

La Agencia Española de Protección de Datos (AEPD) señala en su resolución que se produjo una infracción grave del artículo 44.3.d de la Ley Orgánica de Protección de Datos (LOPD) por parte del Ministerio de Justicia del sistema Lexnet donde unos usuarios pudieron acceder a la información de otros usuarios.

Concretamente, el artículo 44.3.d de la LOPD señala:

“Son infracciones graves:

1. d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

A este respecto, el artículo 10 de la LOPD hace mención al deber de secreto de los datos de carácter personal por parte del responsable del fichero.

La AEPD concluye que el Ministerio de Justicia ha incurrido en dicha infracción. Sin embargo, de acuerdo con la LOPD, las Administraciones Públicas no pueden ser sancionadas económicamente.

De haber sido una empresa privada, la sanción para el Ministerio podría haber sido de una multa de 40.001 a 300.000 euros.

En el nuevo Proyecto de LOPD parece que no modifica este aspecto, lo cual ha generado una gran polémica por la desigualdad en cuanto a las sanciones para las empresas y los organismos públicos.

La AEPD y el principio de seguridad de los datos

Para la AEPD queda acreditado que la infracción se produjo debido a una implementación deficiente de las medidas de seguridad que resultaban obligatorias para la plataforma.  En este sentido, el sistema Lexnet no impidió que unos usuarios accedieran a la información de otros usuarios, lo que significa se produjo una vulneración del deber de secreto respecto a datos de carácter personal, por lo cual la infracción se califica como grave.

El artículo 10 LOPD al hacer referencia al deber de secreto señala que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Concretamente la infracción afectaba al buzón de correo de los usuarios de Lexnet y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios.

Letslaw

Desde Letslaw insistimos en la importancia de una correcta adecuación a la normativa de protección de datos, así como de unas medidas de seguridad adecuadas para los datos que se van a tratar.

Nuestros abogados son expertos en derecho digital, pudiendo ofrecer años de experiencia en asesoramiento en temas de nuevas tecnologías.