IBM se arriesga a una multa de 20 millones por su pifia en Cataluña

Una portavoz del organismo autonómico ha indicado que "tiene conocimiento de los hechos por la denuncia de un particular y también porque el mismo Departamento catalán de Salud nos notificó la violación". La misma fuente oficial ha revelado que en estos momentos "estamos en fase de investigación" de la brecha de seguridad, que avanzó Eldiario.es. Por su parte, la Agencia Española de Protección de Datos (AEPD) se ha remitido a la autoridad autonómica. 

Experto: "Son datos sensibles"

Fernando López de Coca, experto en protección de datos y letrado en la misma materia recuerda que "IBM es una empresa externa al que una Administración [el Gobierno catalán] le cede unos datos con una responsabilidad determinada, la vacunación. Según el Reglamento General de Protección de Datos (RGPD) es preciso que se adopten las medidas técnicas y organizativas apropiadas para su tratamiento". Según el también consultor, "es evidente que algo ha fallado, pues no se han establecido esas medidas". 

López de Coca subraya que "las administraciones públicas no pueden ser sancionadas, pero sí apercibidas; las empresas privadas, sí, si ocasionan un perjuicio, según el artículo 77". A este respecto, el abogado recuerda que, en la brecha de IBM, "los nombres y apellidos no son datos de categoría especial, pero la vacunación, o no, sí". Ello significa que se trata de un dato con el que "debe tenerse especial cuidado". ¿Qué deben hacer los contratistas como la multinacional? "Invertir en ciberseguridad. No es un gasto, es una inversión, porque cada vez más habrá más ciberataques, como ha ocurrido en Cataluña, pero también en la Comunidad de Madrid". 

Precedente de IBM: Japón

En efecto, una web vinculada a la Consejería de Sanidad de Madrid sufrió un error de seguridad informático, como avanzó Telemadrid. La brecha expuso el DNI, número de teléfono y afiliación a la Seguridad Social y dónde y cuándo se ha vacunado. Entre otros ciudadanos, resultaron afectados el presidente del Gobierno, Pedro Sánchez, el ex jefe del Ejecutivo, José María Aznar, y el Rey Felipe VI. 

En el caso de IBM y su socia Salesforce, a la que la Generalitat de Cataluña encargó la web de cita previa de vacunación por 1,5 millones de euros, como avanzó este medio, los fallos de seguridad no son nuevos. En mayo de este año, un error del sistema obligó a detener la inmunización en 11 prefecturas de Japón, incluidas Tokio y Osaka. Se calcula que resultaron afectados unos 2.000 ciudadanos, la práctica totalidad de ellos de 75 o más años, pues la caída del sistema de las tecnológicas tuvo lugar cuando se vacunaba a esa franja de edad. 

Hasta 20 millones o el 4% de la facturación

En España, IBM y Salesforce lidian con un problema mayor al haber revelado los nombres, apellidos, DNI y citas de vacunación de un número indeterminado de ciudadanos. Ello podría constituir una infracción grave del RGPD, que fija sanciones de hasta 20 millones de euros o del 4% de la facturación de la empresa del año anterior en el caso de vulneraciones de calado de la norma comunitaria. Según fija la legislación en vigor, la autoridad competente elegirá la cifra que sea mayor. 

La conducta bajo la lupa de la APDCAT, que decidirá si merita generar un expediente sancionador, es un fallo de seguridad en la página web de autocita para inmunizarse contra el coronavirus del Departamento catalán de Salud. La brecha, que tuvo lugar en las últimas semanas, fue admitida por la Consejería que pilota Josep Maria Argimon (Junts). El equipo del también doctor le restó importancia, algo que los expertos cuestionaron. En cualquier caso, no es el primer trabajo que hace IBM para la Administración autonómica: también es responsable de la web regional para pedir ayudas por el perjuicio de la pandemia.