El CGPJ investigará la filtración de datos personales de la sentencia de “La Manada”

Redacción.

9 de mayo de 2018.

La Comisión Permanente del Consejo General del Poder Judicial, reunida en sesión extraordinaria, acordó ayer abrir un periodo de diligencias informativas para determinar si se ha producido una vulneración de la normativa en materia de protección de datos de carácter personal en relación con la sentencia 38/2018 de la Sección Segunda de la Audiencia Provincial de Navarra, notificada el pasado día 26, comúnmente conocida como la sentencia de “La Manada”.

El órgano de gobierno de los jueces ha tomado esta decisión tras tener conocimiento a través de las noticias publicadas en varios medios de comunicación de la filtración de los datos personales de la víctima de los hechos enjuiciados y, más en concreto, del acceso producido vía código seguro de verificación contenido en la resolución.

Las diligencias informativas, que se abren en virtud de las facultades que atribuye al Consejo, como autoridad de control, el artículo 236 nonies de la Ley Orgánica 7/2015, de 21 de julio, por la que se modifica la Ley Orgánica del Poder Judicial, serán tramitadas por la vocal Victoria Cinto con la colaboración del Comité de Protección de Datos del CGPJ.

El Consejo General del Poder Judicial ha solicitado la colaboración del Departamento de Justicia de la Comunidad Foral de Navarra en las actuaciones dirigidas a clarificar los hechos y determinar si se ha vulnerado la normativa en materia de protección de datos de carácter personal.

ISACA Madrid apunta que hacer pública la sentencia de “La Manada” con el código CSV es ilegal

Los expertos consultados en materia de  cyber seguridad y protección de datos de la Asociación de auditoría y control de los Sistemas de Información (ISACA Madrid ) coinciden en el diagnóstico; alguien en la Audiencia Provincial de Navarra ha cometido un “fallo gravísimo y nunca debería haberse distribuido públicamente la sentencia del juicio conocido como de  “la Manada” con  incluyendo el código CSV, y menos en todas sus hojas, empezando por la primera”.

El código CSV es el (Código seguro de verificación) un código similar al de los localizadores de los vuelos, que es según los expertos en cyber seguridad “un código aleatorio que se genera  para poder cotejar la veracidad de un documente público” mediante la teledescarga del documento.  Este código, según las leyes actuales en materia de Protección de Datos, no debería hacerse público.

Este fallo ha provocado que durante muchos días se haya podido acceder al documento online con la sentencia sin anonimizar, es decir, completa y con todos los datos personales de la víctima, incluido su nombre y DNI. La Audiencia de Navarra subsanó el error el pasado sábado a última hora, pero para entonces ya se habían hecho públicos los datos de la chica, fotos de la misma, su DNI completo, y otros datos como alguno de sus perfiles en redes sociales en los foros Forocoches, en Burbuja.info, y en el periódico digital El Español.

La Agencia de Protección de datos ha anunciado la correspondiente investigación, al igual que la propia Audiencia Provincial de Navarra, para depurar responsabilidades, y la unidad de ciberdelincuencia de la Policía también ha entregado al juez el correspondiente informe sobre la difusión que han tenido estos datos privados.

El CVS que no debería estar

En el caso de la sentencia de la Audiencia Provincial de Navarra, el CSV aparecía con el enlace completo para poder proceder a su descarga en todas las páginas de la sentencia hecha pública. “En cual se observa como los datos sensibles y privados de la víctima y de los acusados (que ya eran públicos) han sido anoniminados mediante la no inclusión o el borrado de los mismos”. Sin embargo el error se produjo “con una sencilla inclusión de este código, que incluye una URL o enlace que al introducirlo en internet lleva al documento en PDF completo, es decir, la sentencia completa, que contiene todos los datos, incluidos los que identifican a la víctima”.

Los directivos de ISACA, entre los que se encuentran expertos colaboradores del Ministerio de Justicia en materia de Protección de Datos recomiendan siempre que el código CSV de las sentencias “aparezca solo en la última página de las mismas, de manera que puede eliminarse con facilidad en el momento de hacerse pública”.

Para estos expertos, en el caso de la sentencia de “La manada” la rapidez con la que se ha hecho pública debido a su interés social ha provocado el fallo.  “Está claro que esta divulgación ha sido realizada por aficionados,  que previamente han anonimizado algunos datos personales deprisa, y quien se haya encargado de ello no ha caído en la cuenta de la presencia del CSV. El código se les ha colado”. Por la experiencia de estos expertos, en la Administración de Justicia de Navarra, “siempre lo hacen de esta manera; no tienen excesivo cuidado,  lo que es claramente una mala praxis”.

La digitalización de las sentencias está regulada por la Ley 11-2007 que regula la Administración electrónica, y la Ley 18-2011 que se centra en la Administración Judicial Electrónica. En ellas se establece que la autenticidad de los documentos se define  mediante la firma electrónica, o el CSV, o las dos, que hacen referencia a una sede electrónica (online).

Efectos legislativos

La sentencia al completo “solo debería haber sido accesible a los destinatarios naturales, es decir, las partes”. El fallo se ha cometido por parte de la Administración de Justicia de Navarra, que no cumple con la manera correcta de hacer pública cualquier sentencia. “Deberían haber sido muy escrupulosos, y no haberse dado tanta prisa en no cumplir los preceptos de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ)”.

Las sentencias se obtienen en el CENDOJ: http://www.poderjudicial.es/search/indexAN.jsp, que es el órgano que recibe todas las sentencias previamente anonimizadas y después publicadas para su consulta pública e instrucción doctrinal. “Ninguna debería publicarse con los datos personales de los contendientes”. El derecho a la privacidad es un derecho contemplado en el art. 18 de la Constitución y regulado por la Ley Orgánica de Protección de Datos de Carácter personal. A partir del próximo día 25 de mayo será el reglamento General de protección de datos de implantación en toda la Unión Europea el que regulará este tipo de fallos.

Este caso en el que se comete este error por parte de una Administración Pública, “en el caso del error cometido en la Audiencia de Navarra es el Consejo General de Poder Judicial  quien tiene la competencia y la potestad para vigilar los procedimientos judiciales, y para imponer los correctivos oportunos.

En el caso de los medios de comunicación y otros medios de difusión (Webs) que han hecho públicos eso datos, a sabiendas que no deberían haberlos dado a conocer, será la Agencia de Protección de Datos la competente para establecer las sanciones y multas que sean pertinentes, “las consecuencias deben ser ejemplares, tanto en las administración de Justicia como para los medios que han evidenciado estos datos, que no tienen ningún interés informativo”, según los expertos de ISACA.

Según estos expertos, en materia de la administración de Justicia “Navarra tiene transferidas algunas de las competencias, de manera que las estructura tecnológica, los medios  físicos y la gestión del personal administrativo de sus juzgados es es diferente al de otras comunidades autónomas y sus procedimientos pueden variar  con respecto a otras comunidades” aunque el cuerpo jurídico si depende de la Administración General del Estado.

Desde ISACA lanzan el mensaje que la sociedad “pasa por alto constantemente; estamos en manos de la sociedad digital y esto requiere cuidado y atención constante”.