MALDITA.ES

Periodismo para que no te la cuelen

Maldito Dato
28/11/2019

Interior publica "por error" los DNI de más de 5.000 candidatos para las elecciones del 28-A: ¿cuáles son las consecuencias?

El 88% de los diputados de esta próxima legislatura han tenido su número de DNI público en la página de resultados electorales del Ministerio del Interior durante más de cuatro meses. Según el propio Ministerio publicaron “por error” este dato personal de 5.212 candidatos a las anteriores elecciones generales del 28 de abril junto a sus nombres y apellidos.


LAS CLAVES

  • El Ministerio del Interior admite que los DNI se publicaron “por error” y han estado más de cuatro meses en su web de resultados electorales
  • Con el DNI y la fecha de nacimiento hemos podido localizar la sección censal de 44 candidatos que fueron elegidos diputados con el fin de visibilizar los riesgos de publicar datos personales
  • Su publicación no es ilegal según Interior, pero no debió hacerse público: el DNI es un dato para uso interno del Ministerio
  • En caso de que la Agencia Española de Protección de Datos sancione al Ministerio será de forma administrativa y no económica
  • Según Interior, la empresa Indra fue la responsable de que se subieran los datos a la web

Es la primera vez que el Ministerio publica los números de DNI de los miembros de las listas de los partidos en su página de resultados electorales dependiente de la Dirección General de Política Interior, ya que, en otras ocasiones, siempre había anonimizado esta información. Además, como excepción, tan solo aparecían sin número de DNI los candidatos correspondientes a la circunscripción de Valencia.

Acceso a los datos de candidatos del 28-A a través de infoelectoral.mir.es

Desde Maldito Dato nos hemos puesto en contacto con los cinco partidos nacionales mayoritarios: PSOE, PP, Vox, Podemos y Ciudadanos para preguntar si eran conscientes de la publicación de estos datos y saber si habían dado su consentimiento. En el momento de la publicación de este artículo tan solo han contestado Podemos y PP y ambos coinciden en que desconocían absolutamente la existencia de esta información, que en ningún momento fueron notificados y desconocen haber dado consentimiento para la publicación de los mismos.

Junto a otros datos personales, con el DNI se puede suplantar la identidad o ver dónde estás empadronado

Según ha explicado el abogado especializado en materia de protección de datos e internet, Ángel Benito, a Maldito Dato, “el DNI por sí mismo no es un dato calificable como sensible o de categoría especial, pero su utilización con fines fraudulentos en combinación con otros datos personales puede provocar graves consecuencias derivadas de una posible suplantación de identidad”.

Benito añade que algunos de los ejemplos más habituales de fines fraudulentos pueden ser “solicitar un préstamo, abrir una cuenta bancaria, dar de alta una línea móvil o un acceso a internet a través del cual se pueden cometer acciones ilegales”.

En Maldito Dato también hemos comprobado, por ejemplo, que el número de DNI en combinación con la fecha de nacimiento permite consultar si una persona está empadronada en Madrid buscando sus datos en el servicio de consulta del censo electoral del Ayuntamiento de Madrid.

Esto nos ha permitido comprobar qué candidatos estaban empadronados en Madrid antes del cierre del censo electoral (julio de 2019) y cuál es la sección censal correspondiente a este empadronamiento, lo que, en algunos casos, permite ver cuál es el barrio al que pertenece esa dirección o, en ocasiones, incluso la ‘manzana’ de edificios. Hemos podido saber, por ejemplo, que Cayetana Álvarez de Toledo (PP), Mª Teresa Jiménez-Becerril (PP) y José Manuel Villegas (Cs) votaron en el mismo colegio electoral o las secciones censales a las que pertenecen cuatro cargos del actual Gobierno en funciones.

De hecho, hemos buscado los servicios disponibles de consulta del censo de otros de los municipios de la Comunidad de Madrid como Pozuelo de Alarcón, San Sebastián de los Reyes o Galapagar y hemos conseguido conocer la sección censal donde están empadronados al menos 44 personas para las cuales contábamos con fecha de nacimiento: 11 del PSOE, 10 del PP, 6 de Vox, 9 de Unidas Podemos y 8 de Ciudadanos.

Secciones censales donde están empadronados 41 candidatos

Mientras que para esta próxima legislatura hemos podido localizar las secciones de 34 diputados, en la anterior legislatura, pudimos hacerlo de más incluso: 42 personas de las 331 de las que disponemos de su número de DNI (un 11,7% del total del Congreso). Uniendo ambos conjuntos de las dos legislaturas suman un total de 44 personas distintas.

En Maldito Dato hemos realizado esta comprobación con el fin de visibilizar los riesgos de publicar datos personales de gente con exposición pública como pueden ser los diputados del Congreso.

El DNI no se debería haber publicado, pero no es ilegal, según Interior

En respuesta a Maldito Dato, el Ministerio ha admitido que la publicación del DNI se ha realizado por error y el tratamiento de datos que legalmente pueden realizar no considera el DNI como un dato público por lo que no lo deberían haber publicado. Sin embargo, Interior defiende que no es ilegal.

Descripción del fichero de candidaturas descargado de infoelectoral.mir.es

El Ministerio aclara que los DNI completos fueron incluidos aunque “había instrucciones de dejarlos en blanco” y que en otras ocasiones siempre han dejado este dato en blanco, como demuestra el caso de que en las europeas y locales de este año, que fueron un mes después a las generales y de cuya gestión se encargaba la UTE Scytl-Vector, no incluyeron este dato.

Detalles del tratamiento de la base de datos de candidatos - Registro de actividades del MIR [pág 91]

La justificación que el Ministerio del Interior ha usado para explicar que no han cometido una ilegalidad con esta publicación es no requieren el consentimiento de los candidatos y que el tratamiento de los datos electorales que hacen está legitimado por la Ley Orgánica de Régimen Electoral General (LOREG) y el Real Decreto 562/1993 sobre procedimiento especial de gestión de gastos electorales. No obstante, no han especificado cuáles son los artículos concretos de estas leyes que sirven como base legal para el tratamiento de datos.

Jorge García Herrero, un abogado especializado en protección de datos y privacidad, nos ha aclarado que las administraciones públicas no suelen operar bajo la base legal del consentimiento, sino que actúan bajo otras bases incluidas en el artículo 6.1 del Reglamento General de Protección de Datos (RGPD) (reglamento común a toda la Unión Europea en materia de protección de datos).

Según García Herrero, las administraciones públicas suelen operar bajo la base legal del interés público o de la obligación legal, por lo cual no necesitan pedir consentimiento a los afectados para publicar sus datos.

Mostrar el DNI completo va contra la norma de publicación de datos personales

La forma correcta y legal de publicar los nombres y apellidos y los DNI los regula la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en su Disposición Adicional Séptima. Esta disposición dice que cuando se realiza cualquier tipo de acto administrativo, como puede ser una publicación o un anuncio, que contenga datos personales se debe identificar a las personas mediante su nombre y apellidos junto a cuatro cifras aleatorias del DNI.

El artículo de la LOPDGDD dice que “en ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del DNI”. Esto se hace para evitar la asociación de ambos datos completos, con los riesgos que puede conllevar.

Así lo ha confirmado el propio Ministerio en la respuesta a Maldito Dato. Según ellos “los datos que se publicaron siguieron el mismo patrón de procesos precedentes sin que, por error, se aplicase la orientación para la aplicación de la D.A. Séptima”.

El Ministerio alude que, aun teniendo legitimidad para publicar los datos, han procedido a eliminar el DNI “por considerar que su publicación parcial, tras la celebración del proceso electoral, no es relevante para terceros porque una vez constatada la identidad del candidato por parte de la Junta Electoral, el dato del DNI es prescindible”.

No hay sanción económica para el Ministerio, solamente un posible apercibimiento de la AEPD

Desde Maldito Dato hemos presentado una reclamación ante la Agencia Española de Protección de Datos (AEPD) para notificar la posible brecha de seguridad. Por el momento, el Ministerio del Interior ya ha retirado los datos de los DNIs, pero sin embargo las consecuencias que puede tener para el organismo responsable de la publicación simplemente pasarían por un apercibimiento.

La AEPD puede establecer que ha habido un error en la publicación de esta información o declarar que se ha cometido una infracción. En caso de que se haya cometido una infracción, esta no tendría sanción económica, sería una sanción administrativa y solamente serían sancionadas con un conjunto de medidas correctoras (punto 9 de circular de la AEPD para organismos del sector público).

Esta posible resolución sancionadora de la AEPD identificaría al cargo responsable de la infracción, lo notificaría al Defensor del Pueblo y se publicaría en la propia web de la AEPD y en el boletín oficial correspondiente.

Indra es la empresa responsable de haber incluido el DNI sin anonimizar, según Interior

Según el propio Ministerio en respuesta a las preguntas de Maldito Dato “la carga de información en el área de descargas la realiza directamente la empresa adjudicataria del contrato de difusión”, que además, “por contrato está obligada al cumplimiento de la normativa en materia de protección de datos”.

Esto quiere decir que los datos a los que hacemos referencia los colgó la empresa adjudicataria Indra, sin anonimizar en el repositorio infoelectoral.mir.es directamente y han pasado inadvertidos para el Ministerio durante más de cuatro meses.

En comunicación con Maldito Dato, Indra se ha limitado a decir que siguió el mismo procedimiento que en los anteriores procesos electorales y que publicaron los datos el día 10 de julio, pero no ha explicado nada acerca de la subida de los DNI sin anonimizar.

Respuesta de Indra a las preguntas de Maldito Dato

Indra, es la responsable de la infraestructura tecnológica que ayuda a transmitir los datos del escrutinio al Ministerio del Interior. Esta empresa ganó el concurso del contrato del escrutinio provisional para las elecciones generales del 28 de abril por más de 6 millones de euros y en octubre la empresa volvió a recibir la adjudicación de las últimas elecciones del 10-N directamente, sin concurso, por el procedimiento de urgencia debido a la repetición electoral por una cantidad algo menor a la anterior ocasión.

De forma análoga al servicio sobre el escrutinio, Indra también da apoyo informático a las Juntas Electorales y entre otras cosas, les facilita el sistema para la recogida de la información sobre candidaturas y la remisión de las candidaturas presentadas y proclamadas al Ministerio del Interior (punto 2.1.1 de los pliegos de prescripciones técnicas del contrato del escrutinio electoral - pág. 57).

El sistema, según el pliego de requerimientos técnicos del contrato, debe incluir el número de DNI y el nombre y apellidos de los candidatos, así como el sexo para comprobar que se cumple la regla de paridad electoral.

Punto 2.1.1 de Los pliegos de prescripciones técnicas del contrato del escrutinio provisional.

La D.G. de Política Interior ha aclarado que el DNI de manera interna se usa para “la verificación de la identidad completa del candidato y permite comprobar que se trata de una persona elegible (no incursa en ninguna causa de incompatibilidad o inelegibilidad), así como, en caso de coincidencia de nombres y apellidos, comprobar que un mismo candidato no está concurriendo a las elecciones en más de una circunscripción, o en más de un proceso cuando éstos son concurrentes”.

En la circunscripción de Valencia, según el Ministerio, puede haberse dado el caso de que en la Junta Electoral Provincial no introdujesen el DNI en el sistema porque podrían haber utilizado una herramienta propia para la gestión de candidaturas y por eso fue la única circunscripción que no se vio afectada por esta publicación indebida de datos personales.

En este artículo han colaborado con sus superpoderes un maldito experto en protección de datos. Esta persona ha preferido mantener en privado su identidad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Otros artículos de Maldita.es

Hazte Maldito, hazte Maldita

Maldita.es está aquí para ayudarte a luchar contra la mentira: identificar la desinformación y controlar el discurso político, pero sólo con tu apoyo será posible. Sólo juntos es más difícil que nos la cuelen. Ayúdanos en esta batalla con tus conocimientos, con tus superpoderes o colabora económicamente para que Maldita.es sea sostenible e independiente. Un medio de comunicación sin ánimo de lucro y libre de publicidad.

Hazte [email protected] y únete a esta lucha contra la mentira.

HAZTE MALDITO