El portal que la Comunidad de Madrid habilitó para obtener el certificado digital COVID en julio de 2021 tenía graves errores técnicos. Entre ellos, una brecha de seguridad que permitía al usuario introducir cualquier número de DNI y obtener el nombre completo de la persona a la que pertenece, su dirección, su teléfono móvil, el fijo, su código de identificación sanitaria o datos relacionados con su proceso de vacunación. El agujero, revelado por elDiario.es, dejaba a la vista esos datos personales de todas las personas registradas
|
etiquetas: covid , protección , datos , certificado
Pongo el enlace a X del autor del artículo.
Y me resulta interesante porque claro, hoy tenemos lo de que IDA se escuda en la "protección de datos" para intentar sortear lo de las residencias en este otro meneo www.meneame.net/story/ayuso-acude-tribunales-actas-residencias-no-salg ... y es incapaz de que se haga bien cuando le toca hacerlo. Excusas mierder por doquier.
Que un software tenga un bug, no viola ninguna privacidad, si tu provocas el bug, o dejas el backdoor, si es una violación. Si es un problema de software no contemplado, es solo una brecha de seguridad, se notifica, se arregla y via.
la AEDP no ha usado el criterio correcto, o no tienen gente que sepa algo de informática (que no me extrañaria) O están usando "violar" con otro significado.
Para violar la privacidad hay que hacerlo activamente, como el del caso de RU con aquel supuesto aviso de bomba en un avión. Si es un fallo de software no es de forma activa.
Mandas un tuit que no se entiende porque sólo enlaza a una noticia vieja, y ni pones en los comentarios la noticia nueva con la sentencia de la AEPD.
No siempre es una brecha.
Un mal diseño puede ser a posta para poder violar la privacidad, o simplemente ser el programador de turno un inutil (o estar mal pagado) y no cubrirlo todo para que no suceda.
Si me dices que la CAM estaba al tanto y pasaba de todo, ahí cambia la cosa.
Pero por defecto, un bug en windows que permite escalar privilegios, no es una violación de privacidad, es un bug. En este caso, lo mismo.
Si tienes un apellido curioso, vale, pero si eres un fernandez garcía, pues como que da igual
Se podría llamar una "violación de la LOPD en tercer grado", aunque no exista legalmente el concepto.
Una negligencia, o un fallo informático, si no es adrede, no es algo activo.
Un bug es un fallo de programación. Es decir algo hiciste mal sin querer. Una brecha de seguridad puede ser por mil motivos, por ejemplo falta de configuración o de controles en el codigo por desidia, intencionadamente (backdoor), etc.
Esto es para #_4
"El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como "brechas de datos personales", de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos."
www.aepd.es/preguntas-frecuentes/2-rgpd/11-brechas-de-datos-personales
El término es incorrecto, no se puede violar si se desconoce que existe una brecha.
www.eldiario.es/tecnologia/fallo-web-sanidad-madrid-deja-descubierto-d
En este artículo se habla de fallo, de brecha, y de que en cuanto se supo, se tumbó el servicio hasta que se solucionó.
Es decir, que no había intención de violar, por tanto, no se puede decir, ni tu, ni la aedp que la CAM "violó" la privacidad.
Si una vez descubierta, siguiesen con el servicio, si, es violar.
facua.org/noticias/una-brecha-de-seguridad-en-orange-expone-los-datos-
Aqui facua solo habla de "una brecha que expone datos" y curiosamente, no denunció.
Curioso, verdad?
Sobre el hecho en sí entra perfectamente en "la comunicación o acceso no autorizados a dichos datos", porque claramente existía un error que permitía acceso a datos para los que no se estaba autorizado.
Y sobre la intención, ¿dime en que sitio de la legislación pone que deba ser intencionada? Porque nuevamente la AEPD usa la RGPD en el párrafo que he copiado, si no te fías de la web de la AEPD puedes ir al boe directamente donde define violación de datos como:
"«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos;"
www.boe.es/doue/2016/119/L00001-00088.pdf
Vamos, que si el fallo es accidental y permite el acceso no autorizado a los datos sigue siendo una violación de la seguridad de los datos y el responsable es el que proporciona el servicio.
Esto me recuerda al niño que se cayó al pozo, lo mismo el problema de seguridad es el niño que se aprovechó de un despiste. Y la víctima era el dueño del pozo. ¿Quién es el sujeto activo/pasivo? Pues eso...
Es como si acuso al sistema judicial por no haber encerrado previamente a un ladrón, y dejar que robase.
Solo habéis podido decir "es que la Aedp..."
No sigamos con esta tontería, no le veo futuro a este pequeño debate. Veo mucha gente que se amarga por nada.
No quiero verte criticar al supremo por decir que hay terrorismo en cataluña eh?
Porque podría usar tu misma estrategia.
Una mierda no huele bien, porque la llames rosa.
deja de dar patadas hacia adelante, agacha la cabeza, pide perdón por usar falacias y admite que tengo razón.
Esto te dará algo de elegancia.
Ignora ignora, la conversación está ahi, como te he acorralado, corres a ignorar para que no siga la sangría.