Facua denuncia al Patronato de la Alhambra por dejar expuestos los datos de los visitantes

Facua-Consumidores en Acción ha denunciado al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) por dejar al descubierto los datos personales y financieros de 4,5 millones de visitantes y casi mil agencias de viajes por un fallo en la web oficial de reserva de entradas. Según publicaba este miércoles El Confidencial, información como los números de DNI, números de cuentas corrientes y de teléfonos, nombres y apellidos, contraseñas, direcciones de correo electrónico, direcciones postales, etc ha quedado expuesta públicamente durante dos años.

En su denuncia, la asociación recuerda que de acuerdo a la normativa europea vigente (Reglamento UE 2016/679, artículo 6), el tratamiento de los datos personales sólo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona, o por interés público.

Asimismo, Facua indica que "las infracciones que supongan una vulneración sustancial" de lo que aparece recogido en el citado artículo 6 del Reglamento de la UE están consideradas como "muy grave", de acuerdo al artículo 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Además, el artículo 32 del citado Reglamento de la UE recoge que "el responsable y el encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". De acuerdo a la información publicada este miércoles, el proveedor tecnológico del Patronato es la empresa Hiberus Tecnología, que utiliza un sistema informático de venta de entradas llamado lacpos, en una versión completamente desactualizada y sin las medidas de seguridad pertinentes.

La asociación pone de manifiesto en su escrito también que el Patronato, al conocer la irregularidad, debería haber comunicado lo ocurrido a la AEPD y a todos los usuarios que podrían verse afectados, tal y como indica el artículo 33 del Reglamento de la UE, "a más tardar 72 horas después de que haya tenido constancia de ella, a menos de que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas".

El Patronato asegura que un informe constata que “no ha habido un acceso a datos de carácter personal” en la web

El Patronato de la Alhambra y Generalife recibió este miércoles el informe preliminar realizado por la empresa adjudicataria de la gestión integral de reserva y venta de entradas, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, que ha indicado que “no ha habido un acceso a datos de carácter personal” en el incidente de seguridad detectado recientemente en la web oficial por la que se presta el servicio.

Según ha informado el Patronato de la Alhambra y el Generalife en una nota de prensa, el informe le ha sido remitido tras el requerimiento efectuado este mismo miércoles por parte de este organismo, en relación al incidente de seguridad detectado recientemente sobre una posible vulnerabilidad en el mismo.

En dicho informe preliminar, y tras las investigaciones realizadas y las acciones aplicadas por la empresa adjudicataria del servicio, se constata la existencia de un incidente de seguridad, “que ya se ha corregido”, pero no que “haya habido un acceso a datos de carácter personal”, ni que dicho suceso se pueda calificar como “brecha de confidencialidad en los términos de la normativa vigente”.

En todo caso, y sin perjuicio de las posteriores investigaciones que se realizarán para averiguar el origen, impacto y posible difusión a terceros de datos personales, el informe recomienda efectuar una comunicación de la incidencia a la Agencia Española de Protección de Datos. En dicho informe también se indica que el posible intento de acceso a la base de datos “se habría efectuado entre los días 18 al 22 de febrero”.

No obstante, y con el objetivo de esclarecer lo antes posible lo ocurrido y evitar posibles incidentes futuros, el Patronato de la Alhambra y Generalife, que “ha lamentado lo ocurrido y confía que en breve todo quede resuelto,” continuará con las acciones anunciadas este miércoles, entre las que se incluye una auditoria interna y externa por parte de la empresa adjudicataria del servicio que garantice que el sistema sea “seguro y eficaz”.