Dos senadores denuncian una trama de venta de datos gestionados por la Administración
A través de certificados electrónicos se realiza una supuesta venta a terceros de información privada y confidencial de ciudadanos y empresas
Los senadores Ruth Goñi y Emilio Argüeso han presentado esta semana una solicitud de comparecencia y una moción por la que se insta al Gobierno a esclarecer una presunta trama de revelación masiva de datos personales. También han pedido al Ejecutivo poner los mecanismos de control establecidos por Europa para detectar e interrumpir este tipo de prácticas. El objetivo es presentar también el caso en el Congreso de los Diputados en septiembre.
Según la documentación a la que ha tenido acceso THE OBJECTIVE, Goñi y Argüeso ponen en el punto de mira a la empresa Cirbox, a la que se le acusa de supuestamente utilizar certificados electrónicos cualificados para suplantar la identidad digital de ciudadanos y empresas frente a la Administración General del Estado, obtener sus datos personales y posteriormente vender esta información a terceros. Los denunciantes desconocen el alcance total de los afectados, pero advierten que cualquier persona con DNI electrónico, activado o no, podría ser una potencial víctima de esta trama.
Este medio ha intentado contactar con Cirbox para obtener su versión, pero desde la compañía indican que no tienen conocimiento de estas denuncias ni de estos hechos.
Denuncia ante la AEPD
Es así como, en el registro de la moción ante el Senado, los dos senadores explican que un prestador cualificado de servicios de confianza -los encargados de gestionar certificados electrónicos-, inscrito en la lista europea de confianza de la Comisión Europea, denunció las supuestas prácticas el 15 de marzo de 2022 ante el Ministerio de Asuntos Económicos y Transformación Digital y a través de su Secretaría de Estado de Digitalización e Inteligencia Artificial y la Agencia Española de Protección de Datos (AEPD).
La denuncia apuntaba a que dicha empresa, con instrumentalización de certificados electrónicos cualificados, supuestamente realiza la venta a terceros de información privada y confidencial de ciudadanos y empresas. Se trata de declaraciones tributarias (renta y modelo 347 de operaciones de más de 3.000 euros), información de Seguridad Social (vida laboral) e información de la Central de Información de Riesgos del Banco de España (CIRBE), entre otros.
Tras analizarse preliminarmente toda la información aportada, la AEPD informó el pasado 31 de marzo de 2022 que se han iniciado las actuaciones previstas para supuestos de posible incumplimiento en la normativa de protección de datos, acordes con las potestades de investigación y sancionadora de esta agencia.
Comparecencias en el Senado
«De confirmarse esta alarmante situación que puede estar afectando a miles de ciudadanos, supondría una grave violación de la seguridad ciudadana que se traduciría automáticamente en la pérdida de confianza de la ciudadanía en la capacidad de la administración pública y las instituciones del Estado para salvaguardar sus derechos y libertades», indican los senadores.
Es por ello que han pedido al Senado «invertir todos los recursos necesarios para esclarecer esta preocupante situación de supuesto descubrimiento y revelación de secretos de datos personales digitales, identificando e informando a los posibles afectados y determinando si se trata de un hecho aislado o una práctica habitual». Y además «establecer todos aquellos mecanismos de control necesarios para cumplir con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y que este tipo de prácticas tengan una ágil y pronta detección a fin de interrumpirlas a la mayor brevedad posible, salvaguardando así la seguridad y los derechos de los ciudadanos».
Del mismo modo, han pedido la comparecencia ante la comisión correspondiente de Florencio Díaz, representante del prestador cualificado de servicios de confianza ANF Autoridad de Certificación Asociación (ANF AC), quien denunció ante el Ministerio de Asuntos Económicos y Transformación Digital y la Agencia Española de Protección de Datos (AEPD), las supuestas prácticas fraudulentas de venta de datos llevadas a cabo por la empresa Cirbox Tecnología y Seguridad, S.L. Así mismo solicitan la comparecencia de Fernando Sánchez-Terán, representante de Cirbox.
Datos personales
Fuentes cercanas a las denunciantes explican a este diario que presuntamente DEH Online, empresa propiedad de los mismos dueños de Cirbox (Fernando Sanchez-Terán es el CEO de ambas), ha compartido los certificados electrónicos que tiene en su poder en su condición de prestador cualificado de servicios de confianza, con Cirbox, para que esta obtenga los certificados -que luego vende- sin el consentimiento del afectado.
Según la denuncia, en su página web, Cirbox se presenta como «La plataforma para obtener los informes de tus clientes», sacánadolos directamente de Sedes Oficiales: Banco de España, Agencia Tributaria, Seguridad Social, Ministerio de Justicia… facilitando informes sobre declaraciones tributarias (renta y modelo 347 de operaciones de más de 3.000 €), información de Seguridad Social (vida laboral), antecedentes penales e información de la Central de Información de Riesgos del Banco de España (CIRBE), entre otros.
El procedimiento se inicia a solicitud de un cliente de Cirbox, el cual debe facilitar el nombre completo, número de DNI, correo electrónico y teléfono móvil del usuario; adjuntando además el anverso y reverso del DNI y una hoja de identificación firmada por el cliente de Cirbox, no por el usuario.
Sigue en funcionamiento
En ese aspecto, en ningún caso se informa al usuario final del tratamiento de sus datos personales, ni siquiera se garantiza su conocimiento sobre la obtención de sus datos sensibles. Además, Cirbox no ostenta apoderamiento del usuario para la realización por Internet de trámites y actuaciones ante la Administración General del Estado, según las denuncias presentadas.
Pese a que la AEPD informó el pasado 31 de marzo de 2022 que se han iniciado las actuaciones previstas para supuestos de posible incumplimiento en la normativa de protección de datos, acordes con las potestades de investigación y sancionadora de la Agencia, Cirbox sigue comercializando sus informes hasta la fecha y publicitándolos en su página web.
En abril, el Banco de España ya envió un aviso respecto del riesgo de la cesión a terceros de certificado electrónicos. «Se están detectando anomalías en el uso de los certificados electrónicos. Es importante recordar que la identificación personal electrónica (firma digital o certificado electrónico) tiene la misma validez jurídica que la firma manuscrita, por lo que su cesión a terceras personas para que actúen en su nombre puede entrañar consecuencias y riesgos importantes para el titular», indicó el organismo emisor.
Nota aclaratoria
Del mismo modo, en febrero de este año la Secretaría de Estado de Digitalización e Inteligencia Artificial publicó una nota aclaratoria recordando que los certificados electrónicos son de uso personal e intransferible, y la posibilidad de que el titular/firmante de un certificado electrónico expedido a su nombre transfiera su posesión y revele sus claves de acceso a cualquier tercero, «no es conforme con la legislación vigente en materia de servicios electrónicos de confianza».
«Con objeto de impedir cualquier posibilidad de suplantación de la identidad del firmante legítimo, tanto por parte de los prestadores como de los titulares de certificados electrónicos se deben adoptar las medidas y precauciones necesarias para evitar la utilización de los mismos por cualquier persona diferente del titular/firmante, que ha debido ser identificado previamente por el prestador de acuerdo con lo establecido en el artículo 24.1 del Reglamento (UE) 910/2014 y el artículo 7 de la Ley 6/2020 en caso de que el certificado sea cualificado», indicaron.