Detectados miles de datos personales en la web de la Junta de Extremadura

Los metadatos de los documentos analizados en el estudio revelan información como como nombres, dígitos de DNI, correos electrónicos, y ubicaciones.

“La Junta de Extremadura no tiene el control sobre los datos personales publicados en su página web”. Así lo concluye el último estudio de privacidad web realizado por Suments Data, con el que han detectado 7036 potenciales filtraciones de datos personales en la web oficial de la Junta de Extremadura.

A partir del análisis de los metadatos de 16.165 documentos publicados en el dominio original (http://www.juntaex.es/), así como en sus 32 subdominios, han encontrado datos personales como nombres, dígitos de DNI, direcciones de correo electrónico y ubicaciones.

Los datos personales interceptados en el estudio han sido publicados a la web en forma de metadatos, que se definen como “datos que hablan de datos”, funcionan como etiquetas que facilitan la búsqueda y almacenamiento de información. El uso de los metadatos es muy extendido en bibliotecas, archivos y contenidos del entorno digital, sin embargo, si los metadatos contienen información como datos personales, su acceso puede dar lugar a brechas de ciberseguridad y ataques como el phising, donde los cibercriminales utilizan estos datos para conseguir información confidencial a través de una suplantación de identidad

Javier Moncayo, Ingeniero Industrial y CEO de Suments Data, apunta que “si la Junta no controla los datos que publica en su página web está dando rienda suelta a que cualquier usuario con malas intenciones realice un acceso no autorizado a los datos personales de trabajadores y otros colaboradores “.

Las potenciales filtraciones de datos personales se encuentran principalmente en archivos de tipo pdf y html, sin embargo, el análisis ha encontrado potenciales filtraciones de datos personales en al menos doce tipos de documentos distintos como archivos de imagen (png y jpg), documentos de ofimática (doc, docx, odt, xlsx pptx) así como documentos de lenguaje de programación (php) o de audio (mp3).

Según los datos obtenidos por el equipo de Suments Data, alrededor de un 70% de los datos personales encontrados en metadatos son fruto de una publicación involuntaria en labores de documentación de los trabajadores. Además, en ocasiones estos datos implican incluso a terceros como proveedores o entidades colaboradoras. El otro 30% de los datos son difundidos deliberadamente por personal de la entidad en cuestión, que bien no ponen en riesgo la privacidad de personas, o bien se trata de datos de índole público como alias, nombre de la institución o acrónimos.

INCUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS

En mayo de 2018 se empezó a aplicar en la Unión Europea el Reglamento (UE) 2016/679, General de Protección de Datos, conocido en siglas como RGPD. En el artículo 4, apartado 12, de esta normativa se hace referencia a la “violación de la seguridad de los datos personales”, que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos”.

En el caso de que ocurra una de estas violaciones o exista una posible filtración de datos personales, el citado reglamento indica que las organizaciones, ya sean públicas o privadas, tienen el deber de notificar a la autoridad de control en este caso la Agencia Española de Protección de Datos, sin demora y a más tardar 72 horas después de que la organización haya tenido constancia de ello.

"La Junta de Extremadura no está siendo responsable con la gestión de su privacidad web. Todos esos datos personales publicados no son compatibles con la normativa sobre privacidad que regula el RGPD", apunta Javier, quien lamenta que “los usuarios ya tenemos suficiente con la mala gestión de nuestra privacidad que hacen las empresas privadas. Las administraciones públicas deberían estar a la altura y dar ejemplo en este ámbito”.