La Agencia Española de Protección de Datos ha notificado esta semana una resolución sobre un expediente en el que lleva investigando durante más de un año al Servicio de Empleo y Formación de la Comunidad Autónoma de la Región de Murcia. En el mismo, se estudiada si el sistema de reserva y consulta de cita previa por internet, y la gestión de colas en las conocidas como “oficias del paro”, se ajustaba o no a la Ley Orgánica de Protección de Datos.

Y finalmente la Agencia ha concluido el expediente sancionando con nivel grave al SEF y abriéndole un nuevo expediente para requerirle que en el plazo de un mes proceda a cambiar el sistema sancionado.

El expediente sancionador resuelto, abierto tras otro de actuaciones previas tramitado a principios del pasado año, fue consecuencia de la denuncia de un joven murciano, Pedro Jesús Fernández, que comprobó cómo algunos de sus datos personales, como el teléfono y los motivos de sus visitas al paro, podían quedar revelados a terceros a través de la web del SEF. Este fallo afecta potencialmente a todos los usuarios del sistema de cita previa por internet de las oficinas de desempleo y prestaciones.

La base de la denuncia era que al tener que indicar el número de teléfono y los motivos de la visita para poder concertar cita previa, y que el único sistema de identificación era el número de DNI, sin ninguna contraseña u otro dato de seguridad, cualquiera que supiera el DNI de otra persona puede acceder a la web del SEF y consultar sus próximas visitas y sus datos.

Además, como al llegar a la oficina hay que pasar por una máquina donde introducir el DNI y recoger el ticket de espera de llamada, al imprimirse éste incluye el número de DNI. Si se pierde el ticket, se deja en el mobiliario de la sala, o se tira a la salida, cualquiera que se haga con un ticket de otra persona ya dispone de su número de DNI y puede acceder al listado de futuras citas y a los datos que se hayan incluido en su solicitud.

Para la Agencia Española de Protección de Datos, este sistema ha resultado contrario al artículo 9 de la vigente Ley Orgánica de Protección de Datos, por lo que “ha existido vulneración del principio de seguridad de los datos”, según se indica en la resolución definitiva, notificada esta semana al denunciante y que concluye con que “el SEF ha incurrido en la infracción grave prevista”.

Por ello, y ya que el SEF solo lo ha modificado eliminando la casilla del teléfono, pero incluyendo una nueva con texto abierto para indicar “Motivos”, la Agencia ha abierto un nuevo expediente de actuaciones previas, requiriendo que se modifique el sistema en el plazo de un mes, algo que podría acabar derivando en una segunda sanción si no se subsana.

Además, la resolución indica que solo puede ser recurrida por el SEF ante la sala de lo Contencioso-Administrativo de la Audiencia Nacional.

Para Pedro Jesús Fernández, denunciante de esta situación, que no solo le afectaba a él sino que es extensiva a todos los usuarios del SEF, incluidos los actuales, “esta denuncia tenía como único fin que los datos de todos los usuarios de estas oficinas se custodien de manera segura, y que el trago de tener que acudir una y otra vez a las mismas en busca de empleo, no se vea agravado con que cualquier desaprensivo pueda intentar hacer un uso indebido de las cuestiones personales de cada uno, y de datos como el número de teléfono o las gestiones realizadas en la oficina”.

Igualmente, el joven ha indicado que “no tengo ningún ánimo de polémica, pero ya que la administración invierte en la modernización de sus sistemas, este gasto tiene que hacer que los trámites sean más seguros y protejan al ciudadano, en vez de dejarlo indefenso y poner en riesgo su privacidad”.