| Resolución | AAPP-00049-2018 |
| Firmado | 2018-09-05T00:00:00Z |
| Enlace | 📋 |
El procedimiento AP/00049/2018 se originó a partir de una denuncia presentada por D. A.A.A., quien solicitó un certificado de nacimiento a través de la Sede Electrónica del Ministerio de Justicia. Sin embargo, recibió un documento que contenía datos personales de terceros relacionados con un matrimonio canónico de 1984, en lugar de su propio certificado de nacimiento. Este error se debió a un fallo en el sistema informático del Ministerio, que mezcló las imágenes digitalizadas de dos solicitudes simultáneas.
La denuncia reveló que el sistema no estaba preparado para manejar solicitudes concurrentes, lo que permitió que un usuario accediera a información personal de otra persona. La Dirección General de los Registros y del Notariado (DGRN) admitió el fallo y explicó que se debía a un error en la gestión de sesiones simultáneas. La entidad también informó que había tomado medidas correctivas para evitar que este tipo de incidente se repitiera, incluyendo la modificación del código del sistema y el desarrollo de un proyecto de modernización tecnológica.
La resolución declaró que la DGRN había infringido el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), que establece la obligación de adoptar medidas de seguridad para proteger los datos personales, y el artículo 10, que impone el deber de secreto sobre los datos tratados. Estas infracciones fueron calificadas como graves debido a la vulneración de la seguridad y confidencialidad de los datos personales.
La sanción impuesta se justificó por la falta de medidas adecuadas para prevenir el acceso no autorizado a datos personales, lo cual constituyó una vulneración del principio de seguridad de los datos. Además, se consideró que la DGRN no había cumplido con el deber de confidencialidad al permitir que terceros accedieran a información personal sin consentimiento.
Finalmente, se concluyó que, aunque la DGRN había adoptado medidas correctivas para evitar futuras incidencias, se debía declarar la infracción para resaltar la importancia de cumplir con las normativas de protección de datos y asegurar que las entidades públicas implementen las medidas necesarias para proteger la información personal.