La quiebra de seguridad de LexNET no afectó a ficheros jurisdiccionales

La Comisión Permanente acuerda el archivo de las diligencias abiertas el pasado 27 de julio y que han sido practicadas por el Centro de Documentación Judicial. El CGPJ da traslado del expediente a la Agencia Española de Protección de Datos para que prosiga la tramitación del procedimiento.

Autor
Comunicación Poder Judicial

La Comisión Permanente del Consejo General del Poder Judicial ha acordado hoy el archivo de las diligencias abiertas el pasado 27 de julio para determinar lo ocurrido en relación con la quiebra en materia de seguridad sufrida en esa fecha por el sistema de comunicaciones electrónicas en la Administración de Justicia (LexNET), al concluir que no afectó a ficheros jurisdiccionales, que son sobre los que el órgano de gobierno de los jueces tiene competencia en materia de protección de datos, de acuerdo con lo establecido en la Ley Orgánica 7/2015.

Las actuaciones llevadas a cabo por el Centro de Documentación Judicial (CENDOJ) en coordinación con la Agencia Española de Protección de Datos (AEPD) han permitido averiguar que ese día se produjo una brecha de seguridad en la versión LexNET 4.10.10 que afectaba a la versión web y que hacía posible el acceso a buzones de otros usuarios previa modificación consciente de la dirección que aparece en el navegador (URL) y, concretamente, del identificador del usuario visible en la misma.

El sistema LexNET es utilizado por abogados, procuradores, graduados sociales, centros penitenciarios, funcionarios de la Oficina Judicial, Policía Nacional, policías locales, Guardia Civil y hospitales -que lo emplean para remitir atestados o partes de lesiones-, pero no es usado por los jueces y solo mínimamente por los fiscales (en pruebas piloto y solo con ocasión de aceptar notificaciones).

Del resultado de la investigación se desprende que no todos los tipos de cuentas quedaron afectados, sino solo las correspondientes a los colectivos de abogados, procuradores y graduados sociales, en tanto que otras más sensibles, como las de la Fiscalía, Juzgados, Fuerzas y Cuerpos de Seguridad del Estado, servicios jurídicos de las Comunidades Autónomas y Seguridad Social, no se vieron afectadas por el incidente.

Por otra parte, de acuerdo con los informes recabados, el acceso a un buzón ajeno no permitía realizar acciones consistentes en el acceso a expedientes completos, acceso a notificaciones no practicadas en caso de usuarios distintos a procuradores, ni realizar presentaciones de escritos en nombre de terceros, ni la posibilidad de borrado manual y modificación de datos del sistema.

“En este sentido, puede afirmarse que la quiebra de seguridad (…) no afectó a ficheros jurisdiccionales, cuya independencia y autonomía respecto a las comunicaciones y notificaciones electrónicas, así como a la presentación electrónica de escritos, documentos u otros medios o instrumentos y al traslado de copias es completa, de manera que la seguridad, tanto de los sistemas de gestión procesal como de los ficheros jurisdiccionales, ha estado siempre salvada”, concluye la Comisión Permanente. 

La Permanente acuerda por ello archivar el expediente y dar traslado a la Agencia Española de Protección de Datos (AEPD) –órgano competente para determinar si han existido posibles vulneraciones en materia de protección de datos de carácter personal en ficheros no jurisdiccionales- a fin de que prosiga con la tramitación del procedimiento.