La Agencia Española de Protección de Datos (AEPD) apercibe a la Secretaría General para la Innovación y Calidad del Servicio Público de Justicia (SGNEC) en relación a una brecha de seguridad en las concesiones de nacionalidad.
La SGNEC confirmó la citada brecha y paralizó el sistema automatizado de notificaciones hasta conocer el alcance del incidente. Tras determinar que la brecha afectó a 36 resoluciones de nacionalidad, la SGNEC, en su notificación a la AEPD, señaló que la incidencia surgió como consecuencia de una modificación en el proceso de generación de resoluciones de nacionalidad por residencia. Los datos personales afectados abarcaban el NIE, nombre y apellidos, lugar de domicilio y la concesión de nacionalidad, entre otros.
La SGNEC manifestó haber tomado medidas previas a la quiebra de seguridad como la realización de una evaluación de impacto relativa a la protección de datos con el correspondiente análisis de los riesgos asociados al tratamiento.
El procedimiento sancionador se inicia por presunta vulneración de los artículos 5.1.f), 25, 32 y 34 RGPD, entre otros.
En la resolución, la AEPD señala que la citada brecha vulnera los principios de confidencialidad e integridad por la falta de medidas de seguridad y técnicas adecuadas, así como el acceso no autorizado por terceros ajenos a datos personales. Asimismo, destaca que la citada brecha tiene su origen en la falta previsión desde el diseño del factor de concurrencia.
Además, se señala en la resolución que no se tomaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riego. Igualmente, el riesgo no fue evaluado en la actualización de la nueva versión del aplicativo. A pesar de haberse notificado a la AEPD, no se realizo la notificación pertinente a los interesados.
En conclusión, la sanción por cada vulneración consta de un apercibimiento, al tratarse de la Administración Pública.