| Resolución | AAPP-00045-2018 |
| Firmado | 2018-09-07T00:00:00Z |
| Enlace | 📋 |
En el procedimiento AP/00045/2018, se denunció la filtración y difusión anticipada de un documento que contenía datos personales y resultados de los candidatos a diversas pruebas selectivas de formación sanitaria especializada, como el examen de Médico Interno Residente (MIR), Enfermero Interno Residente (EIR), entre otros, para el año 2017-2018. La filtración ocurrió el 5 de marzo de 2018, un día antes de la publicación oficial prevista por el Ministerio de Sanidad.
La denuncia se basó en que los documentos, que incluían nombres, apellidos, DNI, país y opción por el cupo de discapacidad, estaban disponibles en internet a través de enlaces en el dominio del Ministerio de Sanidad. Además, se señaló que cualquier usuario de internet podía acceder a la dirección de correo electrónico de los participantes introduciendo solo su número de DNI, sin necesidad de contraseña o autenticación.
El Ministerio de Sanidad argumentó que la publicación anticipada no constituía una brecha de seguridad, ya que los datos estaban destinados a ser publicados unas horas después. Sin embargo, se reconoció que hubo una incidencia en la programación del acceso, permitiendo que los documentos fueran accesibles antes de lo previsto. El Ministerio también mencionó que se habían adoptado medidas para evitar futuras incidencias, como la encriptación de parámetros de URL y la restricción de acceso a los servidores de ficheros.
La resolución declaró que la Subdirección General de Ordenación Profesional del Ministerio de Sanidad había infringido el artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), tipificada como grave. La infracción se debió a la falta de medidas de seguridad adecuadas que garantizaran la protección de los datos personales y evitaran su acceso no autorizado. La resolución también destacó que la conducta descrita era atribuible a la Subdirección General de Ordenación Profesional, que tenía la responsabilidad de instaurar un sistema de acceso seguro.
Finalmente, se notificó la resolución a la Subdirección General de Ordenación Profesional y a su superior jerárquico, y se comunicó al Defensor del Pueblo. La resolución se hizo pública una vez notificada a los interesados, y se indicaron los recursos administrativos y contencioso-ad