La gestión del Ministerio de Justicia ante las gravísimas brechas de seguridad de la herramienta de intercambio de documentos judiciales dispara los rumores, el malestar profesional y mala reputación al minusvalorar lo ocurrido y no informar.
La primera vez que oí hablar de Lexnet fue de la mano de Fernando Biurrun junto con otros profesionales de la abogacía cuestionando su efectividad en el día a día por el concepto en si de cómo había nacido su tecnología y los fallos que daba. Nacía ya desfasado, esa es la idea con la que me quedé. Mi ligazón a través de Law & Trendsme ha puesto en conocimiento del clima generalizado de malestar en la abogacía por el mal funcionamiento de dicha herramienta, que lo que debe facilitar es su trabajo siendo crucial para su ejercicio y al ser obligatorio su uso. Este 27 de julio saltaba la noticia de que cualquier usuario de Lexnet podía acceder a todas las carpetas del resto de abogados de España y no sólo consultarlas, sino incluso descargar notificaciones. Hoy, seis días después, El Confidencial hace público en exclusiva del acceso de Teknautas a 11.000 documentos de Justicia filtrados por un nuevo fallo informático en un servidor sin securizar que incluye su código fuente. Algo muy serio. Mucho. La falta de ciberseguridad, sus repercusiones, y no saber actuar desde la comunicación para gestionar esta crisis de incomprensible negligencia es algo que vamos a ver a continuación.
No soy abogada. Si periodista, consultora de comunicación y experta en gestión de crisis, y en los últimos tiempos, para saber abordar la magnitud de los ciberriesgos, conocedora de las implicaciones legales del nuevo marco que se avecina con la entrada en vigor en mayo 2018 de la directiva NIS para la seguridad de redes y sistemas de información, y el nuevo Reglamento General de Protección de Datos.En sí, lo ocurrido con Lexnet es un desastre, un despropósito en todos los sentidos, y también lo está siendo, hasta la fecha, en cómo se está gestionando en materia de comunicación. Y me hago dos preguntas que también os planteo:
- ¿Qué hubiera pasado si en vez de pasar esto ahora ocurre, por ejemplo, en agosto 2018 y, por lo tanto, ya con la aplicación del nuevo Reglamento de Protección de Datos? ¿Qué tipo de sanciones se aplicaría? ¿Qué tipo de responsabilidades y de obligaciones en materia de notificación, información y comunicación pública?
- Y una pregunta siempre en el aire: porqué no se comunica, no se reconocen con rapidez los errores y se actúa con diligencia informando a cada parte involucrada para saber a qué atenerse y como actuar ¿Por qué siempre es tan difícil, da igual sea la empresa o institución que sea, comprender y aplicar esta necesidad y que, además, va a ir en beneficio también suyo? Por qué se hace siempre tan mal en gestión comunicativa y más en tiempos de inmediatez digital.
Cambiar esta cultura del miedo y afrontar dar la cara empezará en unos meses a ser sí o sí una realidad al tener cumplir a la fuerza la primera pregunta. El verdadero miedo es el de los profesionales y ciudadanos a conocer la magnitud de lo que ocurre y en manos de quien puede estar esos datos tan sensibles que se maneja en Lexnet.
Sobre ambas cuestiones doy unas pistas desde el punto de vista de la gestión de la comunicación de crisis que sirvan para reflexionar. Hay que partir del contexto de que Lexnet es el proyecto estrella del Ministerio de Justicia y de su ministro Rafa Catalá Polo y la palabra más suave con la que se asocia hoy es con fiasco y chapuza, lo que da una idea de por donde anda su nivel de reputación. ¿Qué es LexNet? Según lo define en su web: “una plataforma de intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos que, en su trabajo diario, necesitan intercambiar documentos judiciales (notificaciones, escritos y demandas)”. Es decir, los datos que manejan no pueden ser más sensibles y si algo ha quedado claro es que segura no lo es al haber quedado todo su contenido al descubierto y no saber desde cuándo o si es así desde su inicio.
La grave incidencia es comunicada al Ministerio de Justicia por un usuario: el decano del Colegio de Abogados de Cartagena, José Muelas, @josemuelas que inmediatamente lo informa en sus redes sociales. A día de hoy sigue sin saberse el alcance del problema, su verdadera dimensión ni desde cuando se ha vivido en esa vulnerabilidad absoluta, que eufemísticamente se refugia en denominarse “fallo en el control de accesos”, pero que significa que cada jurista usuario podía entrar con su propio identificador, certificado y clave para luego, estando autorizado a estar dentro de Lexnet, acceder a toda la documentación judicializada de otro usuario cualquiera en algún lugar de España, de todos sus casos; incluso descargársela o borrarla.
Sanciones y obligación de comunicar
Respondiendo a la primera pregunta, además de que se trata de un incumplimiento legal, con lo que ello representa, si estas brechas en la seguridad ocurren a partir de mayo 2018 existe la obligatoriedad de:
- NOTIFICACIÓN AUTORIDAD: se tiene un plazo máximo de 72 horas para notificarlo a la autoridad de control competente de lo ocurrido (a la que finalmente se defina, ahora se está en fase de transposición) y hacerlo en la forma y procedimiento así establecido a través de la nueva figura del Delegado de Protección de Datos.
- INFORMACIÓN AFECTADOS: se tiene que informar de la vulnerabilidad ocurrida, de esa brecha de seguridad, tan pronto como sea conocida, a las personas cuyos datos se han visto afectados y se tiene un plazo máximo de 72 horas para hacerlo.
- COMUNICACIÓN PÚBLICA: si se desconoce qué clientes tienen sus datos personales comprometidos, cuál es el nivel de alcance real de la brecha de seguridad, se deberá no solo informarles a ellos si no también comunicarlo de manera pública. Es decir, hacerlo públicamente a través de los canales disponibles en la página web, en las redes sociales, y a los medios de comunicación.
- ENDURECIMIENTO SANCIONES: Cualquier incumplimiento de lo anterior ya lleva consigo una sanción, que se hará pública. Y los importes de multa ya dan una idea del interés que hay en que esta cuestión se tome en serio ya que el único lenguaje que se entiende es cuando se ve afectado el bolsillo: hasta 20 millones de euros o sanciones incluso 4% cifra de negocio por incumplimiento. Y no, no se excluye de las multas a las Administraciones Públicas.
Casualidad, el mismo día 27 que saltaba la noticia de lo Lexnet se conocía también que una fuga de datos confidenciales en Suecia provocaba la caída de dos ministros ante la incapacidad de proteger datos clasificados por parte de la Agencia Sueca de Transportes. En ese caso personal subcontratado tuvo acceso a su base de datos que cuenta con información sobre todos los vehículos en Suecia, incluidos los policiales y militares. ¿Qué hubiera pasado en ese país si, entre otros fallos, a lo que tiene acceso cualquiera con un conocimiento mínimo de informática es a cualquier archivo, notificación o procedimiento del país?
Es decir, acceso a datos de nombres y apellidos, DNI, domicilios, teléfonos, datos fiscales, números de cuentas bancarias, procedimientos judiciales iniciados, multas, condenas en vía civil, antecedentes penales, imputaciones, informaciones aportadas por la Policía y por la Guardia Civil, datos de mujeres maltratadas, despidos laborales, etc. de cualquier ciudadano. Porque eso es lo que ha ocurrido, por lo que no puede extrañar que crezcan las voces que pidan la dimisión del ministro y depurar responsabilidades, ante un sistema que costó más de 7 millones de euros a los españoles y sobre el que crecen las dudas sobre cómo fue adjudicado.
Hacer frente a la desinformación
¿Qué se hace desde el Ministerio de Justicia para abordar este desastre? Poco o nada, si nos atenemos a lo que se está comunicando tanto de manera pública, en sus comunicados, como los tuits que ha hecho el ministro en su cuenta de Twitter, @RafaCatalaPolo; como a los propios usuarios del servicio, cuyas voces pidiendo explicaciones suenan cada vez más fuertes, y no solo ligadas a la Brigada Tuitera. Cada vez ganan terreno de conversación en las redes sociales hashtags como #DesastreLexnet, #LexnetNoSeguro, #LexnetNoEsSeguro, #LexnetDesastre, #JusticiaNoSegura, #JusticiaSinMedios dominando el tono negativo de reproche y exigencia de responsabilidades.
Se está echando un pulso a la fuerza del colectivo de abogados, procuradores y jueces y no se es consciente del poder de su voz colectiva, de ser cada uno de ellos un medio difusor en las redes sociales. No estamos en tiempos en los que se puedan ocultar cosas o hacer como que no ocurren situaciones y más siendo afectadas tantas personas bien en su trabajo, y más en plena operación salida estival en los juzgados, como muestra un ejemplo, o por estar sus datos y derechos vulnerados.
Es inconcebible que un hecho de esta magnitud que ocurre un jueves, se tenga que esperar 4 días para pedir disculpas en una nota, es lo que ha tardado el Ministerio de Justicia en emitir este lunes un breve comunicado haciéndolo pero no ofreciendo más datos ni información que la justificación de la “parada técnica” del servicio por “trabajos de mantenimiento”. Es inconcebible que no se haya informado, notificado de lo ocurrido por ejemplo desde la propia plataforma o desde Abogacía a los propios usuarios del servicio ante esta violación de las normativa en materia de protección de datos de carácter personal.
Como aviso de navegantes, si fuera agosto de 2018 con la nueva normativa se aplican y exigen nuevos derechos para los ciudadanos en transparencia e información de las organizaciones al tratar datos personales. Y ahí no se puede justificar la argumentación de que es un tema de “tareas de mantenimiento técnico”. Cuánto hay que insistir en que el silencio no es rentable.