La Seguridad de la Información, tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Podemos entender como seguridad, tal como afirma AEC, un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo.
Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen. La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Conviene aclarar que la seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.
En este sentido, hace unos días se publicaba en distintos medios de comunicación los diferentes incidentes producidos a consecuencia de una quiebra de seguridad en los sistemas de información y gestión de la Agencia Tributaria, que habría traído consigo una fuga de información de diversos contribuyentes.
Brecha en la seguridad de la información
Al parecer según las informaciones recogidas esa brecha en la seguridad de la información se habría producido en la nueva web de la Agencia Tributaria, que -además de colapsarse por la avalancha de solicitudes durante el primer día de funcionamiento, pues solo hasta las diez de la mañana del primer día de funcionamiento del sistema, se habrían recibido más de 315.000 solicitudes para obtener el número de referencia que permite acceder al borrador, un 25 % más de tráfico que el año pasado-, y habría contado con una incidencia añadida consistente en que habrían enviado borradores de declaraciones tributarias de IRPF de manera errónea, lo que provoco que varias personas pudieran acceder con su número de referencia, previamente enviado al móvil, a descargar en 'Vista previa' el PDF de su borrador de la declaración de la renta y al abrirlo se encontraron con los datos fiscales de otra persona totalmente ajena a ellos. Desde la propia Agencia Tributaria se destacó, no obstante, que los casos producidos fueron «casos muy puntuales», y que la seguridad de las operaciones estuvo siempre completamente garantizada.
Estamos, pues, en lo que técnicamente se denomina “fuga de información”, y así es considerado el incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma, tal como señala Bortnik.
Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no. Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la organización termina en manos de un tercero, que no debería tener acceso a la misma.
Naturaleza pública de los ficheros
En el presente caso, aunque los datos que maneja la Agencia Tributaria corresponden a contribuyentes y son de carácter privado, los ficheros que agrupan los mismos tienen una naturaleza pública al corresponder, precisamente a la función que tienen encomendada y desempeña la Agencia Tributaria.
La naturaleza pública de estos ficheros es sumamente importante, pues sirve para delimitar su régimen jurídico, que es bastante diferente en aquellos ficheros que tienen una naturaleza y finalidad estrictamente privada, y entre otras cuestiones, delimita el régimen sancionador aplicable, que distingue entre un tipo de fichero de titularidad pública frente a otro de titularidad privada. En este sentido, si la infracción es cometida por un responsable de titularidad privada, existe una sanción económica importante, mientras que si la sanción se refiere a un fichero de titularidad pública, no hay sanción pecuniaria alguna.
No obstante ello, existen otras múltiples diferencias. Entre ellas, cabe traer a colación todo lo referente al ejercicio de los llamados “derechos ARCO”, es decir, que ejerzamos los derechos de acceder a los datos, de pedir su rectificación, cancelación o bien oponernos a los mismos, pero no por todos es conocido que en los fichero de titularidad pública también existen derechos nuestros sobre los datos, si bien los mismos tienen unas particularidades y limitaciones concretas. En lo que atañe a la Agencia Tributaria, tendremos derechos sobre nuestros datos, pero nos podrán “denegar el ejercicio… cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado está siendo objeto de actuaciones inspectoras” (art. 23.2º LOPD).
En todo caso, la protección que dispensa la vigente Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal, a la hora de dispensar la protección jurídica a la intimidad de los ciudadanos, no distingue entre ficheros de titularidad pública o privada, dispensando la misma e idéntica tutela en unos casos y en otros. Los procedimientos son ciertamente distintos, pues distinta es la naturaleza de unos y otros ficheros.