Un "grave" fallo en la web del CGPJ deja al descubierto datos personales de sentencias

Si alguien entra en la web del Consejo General del Poder Judicial (CGPJ) es difícil darse cuenta de que algo no va bien, pero ahí está, y lleva años presente. En la página creada para que cualquiera pueda consultar sentencias de forma rápida y sencilla, siempre en una versión anonimizada para proteger la identidad de las personas que aparecen en esos textos, existe una serie de campos para que el usuario afine lo máximo posible su búsqueda. El problema: uno de esos campos no funciona como debería. Es más, sufre una importante fuga de información detrás.

El aviso esta vez ha llegado por un usuario a través de su cuenta de Twitter e inicialmente hasta parecía una broma, pero es tan real como "grave", tal y como señalan a Teknautas fuentes jurídicas consultadas. El fallo en cuestión aparece al introducir en las búsquedas cualquier término: se muestran sugerencias automáticas para autocompletar, de forma similar a lo que ocurre en Google. Sin embargo, el texto que aparece contiene datos personales como nombres, apellidos y otras pistas que pueden ser usadas para adivinar los delitos y causas reales pendientes, información en muchos casos confidencial.

TE PUEDE INTERESAR

La "chapuza Lexnet" ya tiene castigo: España infringió la ley de protección de datos

C. Otto

El abogado Samuel Parra asegura que el problema en realidad se conoce desde hace "2 o 3 años" y que incluso él mismo lo reportó al personal del CENDOJ hace tiempo, lo cual añade gravedad a la situación. "Nadie del Consejo General del Poder Judicial (CGPJ) ha explicado aún la naturaleza técnica del problema, pero todo apunta a que la función de autocompletar muestra búsquedas anteriores de todos los usuarios relacionadas con los términos que se teclean. Si es así, y aunque no sean extractos literales de las sentencias, es un fallo muy gordo que deberían subsanar de una vez", reflexiona. Eso mismo cree el letrado José Muelas que tacha el error como "bastante grave". "Imagina que se filtran nombres y apellidos de testigos protegidos", apunta.

"Habrá que ver hasta qué dónde llega el autocompletar, pero tal y como está ya es peligroso. Sobre todo si el sistema da nombres y apellidos de personas que aparecen en las sentencias y que se anonimizan después de cara al público. De ser así, el fallo se saltaría la normativa de protección de datos y sería incluso objeto de sanción", explica el abogado Sergio Carrasco.

En Teknautas hemos hecho diferentes pruebas para ver hasta qué punto llega esta fuga y hemos encontrado algunas informaciones llamativas. Por ejemplo: al teclear la palabra 'Juan Carlos', la función de autocompletar ofrece una serie de nombres y apellidos relacionados directamente con delitos como "cohecho" o tribunales como el "Contencioso". Igual de alarmante es uno de los casos en los que se relaciona un nombre y un apellido con la palabra "divorcio". Al teclear un apellido aparece el nombre completo de una mujer. Si uno selecciona esas opciones y hace clic en "buscar" no obtiene resultados, pero toda esta información puede ser usada como base para rastrear a personas y causas confidenciales. Consultado por este diario, un portavoz del CGPJ ha asegurado que "están investigando la incidencia".

El hallazgo de este polémico error técnico llega justo después de que se conociera otro aún más grave, aunque en este caso afecta al Ministerio de Justicia y a su portal de la Sede Judicial Electrónica.

Para dar con todos los datos personales de cualquier sentencia, incluso la de La Manada, solo se necesita el Código Seguro de Verificación (CSV). Se trata de una serie de números y letras generados de forma aleatoria que identifican el documento y que se imprime en una sección de dicha sentencia. Basta tener ese CSV para ir a la web del Ministerio y hacerse con la sentencia original con todos los datos personales al aire sin pasar ningún tipo de control.

En este caso, el Ministerio de Justicia ha explicado al diario Público que se trata de un sistema implantado desde hace años y que no piensan modificarlo. A este fallo técnico se añade ahora el de otro organismo, esta vez el CGPJ que, tras casi tres años produciéndose, no parece que tampoco se vaya a solucionar.