La Fiscalía de Sevilla será, finalmente, la que determine si hay consecuencias penales por el fallo de seguridad detectado por el grupo municipal de Ciudadanos en la web de la Agencia Tributaria, una vez que el Ayuntamiento ha concluido su investigación interna y ha trasladado al Ministerio Público las 28 diferentes IP desde las que se consultaron 51 DNI distintos, por si hubiera uso ilegal de los datos. El Consistorio considera “muy leve” el impacto sobre la ciudadanía y sólo ha apercibido a la empresa responsable, Tecnocom, por este error “muy grave”.
La investigación municipal, que ha sido trasladada a la Junta de Portavoces de forma reservada, revela que, desde que se produjo el cambio en la autenticación de las peticiones de información que provocó el error técnico y el agujero de seguridad, el 8 de marzo, se han producido 105 consultas efectivas, se han analizado 51 DNI diferentes y se han localizado sólo 28 IP diferentes. Para el delegado de Hacienda y Administración Pública, Joaquín Castillo, el impacto global de este error, aunque “muy grave”, es “muy limitado”.
Las consultas
Curiosamente, al igual que la mitad de las consultas se registraron el mismo 3 de septiembre en que Ciudadanos denunció públicamente el agujero de seguridad, los otros dos picos de consulta coinciden con el día previo a la denuncia y con el 28 agosto, cuando este grupo corroboró la existencia del enlace erróneo que permitía extraer datos privados sólo con un DNI y sin ningún tipo de control ni comprobación.
Entre las consultas de los propios denunciantes, incluidas las realizadas ante notario, las comprobaciones de los técnicos, los grupos municipales e incluso de los propios medios de comunicación, incluido Viva Sevilla, el alcance pues, parece mínimo.
De hecho, la Fiscalía de Sevilla, tras trasladarle el Ayuntamiento los hechos a principios de septiembre, decidió no incoar diligencias de investigación “por ahora”, en espera de que se le diesen traslado de los resultados de la investigación y se verificase si hay indicios de “revelación de secretos”. Según trasladaba la Fiscalía, hay que “verificar los hechos y averiguar en su caso si ha existido extracción irregular de datos o revelación o uso por terceros no autorizados”, lo cual “sí podría ser constitutivo de delito”.
Las conclusiones
Mientras el aspecto penal se sitúa en el ámbito de la Fiscalía, la conclusión del informe interno y reservado del Ayuntamiento concluye que el error que provocó el agujero de seguridad procede “de un fallo informático no intencionado que se produce el día 8 de marzo de 2015 en la empresa adjudicataria de la oficina virtual de la Agencia Tributaria (Tecnocom)”, considerando el impacto global “muy limitado” para la ciudadanía.
Castillo, que ha querido enviar un “mensaje de tranquilidad a los sevillanos sobre su información tributaria y personal”, ha asegurado que el error que “ha permitido el acceso sin seguridad a DNI de ciudadanos es un fallo muy grave que, afortunadamente, ha tenido un impacto muy limitado, casi puntual, sobre los ciudadanos”, ha dicho.
Las conclusiones se han extraído a partir de información suministrada por la empresa Tecnocom, el Instituto Tecnológico del Ayuntamiento de Sevilla (ITAS) y la Agencia Tributaria, acreditando “desde cuándo se produce este problema técnico, quiénes han hecho uso del fallo informático y qué información se ha consultado a través de este enlace erróneo”.
“En el expediente reservado constan todas las direcciones IP (28) y los DNI (51) que se han consultado, aunque esos datos son confidenciales”, según ha dejado claro Joaquín Castillo, que ha apuntado que entre las actuaciones más urgentes está en el inicio en los próximos días de la auditoría de seguridad de la página web del Ayuntamiento, de la Agencia Tributaria y el ICAS adjudicada de urgencia.
Tecnocom, apercibida
Con respecto a la responsable del fallo, la empresa Tecnocom, se le ha realizado un apercibimiento por un error, ha recalcado Castillo, que no fue intencionado, pero sí “muy grave”. Se le ha advertido de que, en caso de reincidencia, habrá sanción, no pudiéndose ir más allá por ahora dado que los pliegos de contratación del servicio no contemplaban sancionar desde el primer fallo por incumplimiento del contrato.
La información recabada, además, ha sido trasladada a la Agencia de Protección de Datos el pasado 16 de septiembre y al Defensor del Pueblo Andaluz, que ha abierto un expediente de oficio, además de la remisión a la Fiscalía de Sevilla los datos del expediente por si alguna de las 51 consultas de los DNI personales haya podido no realizarse por sus titulares y puedan tener, por tanto, consecuencias penales.
