3 de julio de 2006

El carnet por puntos

Leyendo Kriptópolis, me entero de que es posible por parte de las aseguradoras conocer el estado de mi saldo de puntos de conducción, dado que sólo es necesario el dni y la fecha de primera expedición del carnet para tener acceso a los puntos.
Esto, desde el punto de vista de protección de datos es una barbaridad. Veamos por qué:

La DGT, mejor dicho, la Jefatura Central de Trafico tiene declarado un fichero ante la Agencia de Española de Proteccion de Datos (AEPD) llamado PERSONAS, que, por la finalidad que describe parece ser el recipiente de nuestros puntos:

Finalidad: REGISTRO CENTRAL DE CONDUCTORES E INFRACTORES. REGISTRO DE TITULARES DE VEHICULOS, COMPLEMENTARIO DEL REGISTRO DE VEHICULOS, Y DE PROFESIONALES DE LA ENSEÑANZA DE LA CONDUCCION. GESTION DE LAS COMPETENCIAS PROPIAS. ESTADISTICAS INTERNAS Y PUBLICAS. USO RESULTANTE DE DETERMINADOS ACUERDOS JUDICIALES O REQUERIMIENTOS DE INTERES POLICIAL.
(un poco genérico, a modo de saco de datos de todo tipo, pero bueno)

El Reglamento de Medidas de Seguridad (RMS) indica que los datos de infracciones administrativas o penales (entre otros) se catalogan como datos de nivel medio de seguridad. Por tanto La DGP debe respetar ciertas medidas de seguridad especiales por custodiar y tratar esos datos.

El Artículo 11.1 del RMS (medidas de nivel básico) dice:
El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
El procedimiento actual garantiza la identificación (reconoce la identidad del usuario con su NIF), pero no garantiza suficientemente su autenticación, que no es más que poder tener la certeza de que el usuario es quien dice ser, dado que este dato lo tienen las aseguradoras.

Evidentemente tampoco cumple el artículo 18.1 de autenticación de nivel medio:
El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
Por tanto, en este caso la DGP está infringiendo la LOPD en lo referente al principio de seguridad, aunque hay alguno más como el deber de información, ya que la web de consulta de puntos anda poco informativa al respecto, algo generalizado en sitios web del Estado.

Las conclusiones: las aseguradoras, dado que tienen los datos suficientes para acceder a la web de consulta de puntos y suplantar la identidad del conductor, podrían acceder a dichos datos, violentando la confidencialidad.

Nótese que no entro en si las aseguradoras tienen derecho a saber o no el estado de sanciones del asegurado, eso es otro tema que deberá ser tratado aparte. Pero lo que no es de recibo es que puedan acceder y suplantar la identidad del conductor (por supuesto sin su permiso).

(Perdón por el ladrillo)

1 comentario:

Feagurth dijo...

Desde luego, que te hagan una ley de este tipo y que luego el estado se la toree da un mal rollo increible...
Da sensacion de parcialidad...