El sistema que ofrece la DGT en su página web para que el ciudadano pueda consultar sus puntos del carnet fue declarado hace más de un año ilegal por la Agencia Española de Protección de Datos al no garantizar la privacidad de los datos accesibles. No obstante, los responsables del sistema en la DGT afirman que no les consta que nadie haya hecho un uso perverso del sistema (accediendo a datos de terceros), por lo que no lo van a cambiar.
El 24 de febrero de 2009 la Agencia Española de Protección de Datos declaró en la Resolución 00372/2009 que
“La Dirección General de Tráfico está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales contenidos en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al posibilitar que por parte de terceros se pudiera acceder, a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.”
Se declaraba infringido por tanto el artÃculo 9 de la Ley Orgánica de Protección de Datos, como infracción grave, y en consecuencia, se le requerÃa para que adoptase las medidas oportunas para atajar esta situación.
Pero antes de continuar, contiene responder ¿por qué el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?
Veamos, para consultar los puntos hay dos vÃas: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vÃa.
Si un ciudadano decide consultar sus puntos sin utilizar certificado digital deberá seguir estas instrucciones que yo resumo de la siguiente manera:
- 1º: Introduce el NIF.
- 2º: Introduce la fecha de expedición del primer carnet de conducir.
Si el NIF coincide con la fecha, continúa el proceso:
- 3º: Introduce tu dirección de correo electrónico (cualquiera, una en @hotmail, @gmail o donde quieras)
- 4º: Recibe en tu correo electrónico la clave de acceso para consultar los puntos.
El avispado lector habitual de este blog ya debe percibir dónde está el problema.
En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.
El problema, según la Agencia Española de Protección de Datos (y creo que según cualquier ciudadano medio) se encuentra en la primera fase del proceso: NIF + fecha
Si queremos curiosear los puntos de cualquier ciudadano solo debemos conocer su NIF (nada difÃcil hoy en dÃa gracias a los Boletines Oficiales, los buscadores de Internet, etc, o simplemente probamos uno al azar) y luego “descubrir” la fecha, que a estos efectos, harÃa las veces de “contraseña”.
Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas y menos aun si conoces aproximadamente la edad de la vÃctima, ya que lo habitual es sacarse el carnet entre los 16 y los 25 años de edad.
Si nos encontramos en este último supuesto estamos hablamos de un total de unas 3650 combinaciones posibles como máximo, menos si quitamos domingos y festivos ya que no serÃa posible haber obtenido el carnet en uno de esos dÃas.
En la era de informática y la automatización el atacante no estarÃa toda la mañana probando una a una esas 3650 combinaciones sino que harÃa un pequeño programa o utilizarÃa algunos plugins para el Firefox para que el ordenador lo hiciera por él a velocidad ultra-rápida. 3650 combinaciones serÃa posible probarlas en menos de 15 minutos.
Por supuesto no hay un lÃmite máximo de intentos fallidos al introducir la fecha de expedición, tenemos intentos ilimitados.
Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica: indicamos la que nos acabamos de abrir en Hotmail a nombre de Superman; en breves minutos recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de nuestro vecino, del polÃtico o famosete de turno. Es más, si el usuario ya tenÃa su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.
Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos vuelve el nombre y apellidos de esa persona. Un usuario malintencionado podrÃa dejar durante varios dÃas funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.
Como decÃa al principio, esto ha sido declarado ilegal por la AEPD, pero ¿la DGT lo va a cambiar para garantizar la intimidad de los ciudadanos? NO.
Luis de Eusebio, responsable de informática de la DGT, en declaraciones realizadas a El Mundo, afirma que:
“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurÃdico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.”
Y añade:
“El responsable de informática de la DGT, Luis de Eusebio, aclara que el sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”
Nadie deberÃa asombrarse; en este paÃs estamos acostumbrados a que se aborden cuestiones relativas a la seguridad una vez que ya se han producido los daños, eso de la “prevención” no se lleva. Y es lo que precisamente dice la DGT, hasta que no conste que un tercero ha accedido a los puntos de otra persona no van a cambiar nada. Eso sÃ, cuando esto ocurra, entonces se podrá exigir responsabilidad patrimonial a la Administración por negligencia en la custodia de la información personal que trata en sus ficheros.
Pero más grave me parece que una Administración, como la DGT, consciente de la ilegalidad de uno de sus servicios, se abstenga de solucionarlo esgrimiendo que “todavÃa no ha pasado nada”.
La AEPD de hecho tiene competencias para evitar coactivamente esta situación ilegal por parte de la DGT, el artÃculo 49 de la LOPD indica:
“En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilÃcita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilÃcita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.”
La AEPD podrÃa inmovilizar ese tratamiento de datos ¿alguien se anima a requerirlo expresamente?
¿Por qué publicar esto ahora y no hace un año? He preferido esperar a ver si las declaraciones que aparecÃan en el medio de comunicación se cumplian o no, en otras palabras, he estimado que si en un año no han cambiado el sistema a pesar del requerimiento de la AEPD, es que efectivamente no lo van a cambiar hasta que “pase algo”. Y ESTO ES LO QUE CONSIDERO RELEVANTE.
Descargar resolución de la AEPD declarando ilegal el sistema de consulta de puntos de la DGT.
Qiiero saber mis puntos.
Escrito por david guien parra | Domingo, 28 octubre 2012, 0:28Cuando consulto mi saldo de puntos me pone: El usuario no se encuentra registrado como conductor en el sistema. Quiero saber que significa esto. alguien me lo puede decir? Gracias.
Escrito por joselito | Viernes, 6 julio 2012, 12:11he perdido todos mis puntos y no lo sabia,si es verdad que sabia haber perdido algunos,pero la dgt no me ha notificado la perdida de todos y el resultado ha sido pasar toda la noche en el calabozo y tener un juicio, no lo justo,gracias por este espacio.
Escrito por eduardo | Martes, 26 junio 2012, 22:06hola no puedo mirar los puntos que tengo porque puse la clave de acceso en otro correo electronico como recibirlo en el actual
Escrito por ABRAHAM MARTINEZ ESCOLAR | Jueves, 19 enero 2012, 19:38hola, no puedo mirar los puntos que tengo, porke no recuerdo k correo di en ese momento y no se como puedo cambiarlo para poderlo mirar ahora …
Escrito por gaspar | Jueves, 19 enero 2012, 16:43hola¡ no se si es el caso ,pero la exjefa de mi marido si entro ,porque tenia el nº de dni ,y la fotocopia del carnet de conducir,gracias a eso le costo el despido ,improcedente (claro),cambio contraseña y ya,porque se le pasara 1 semana la renovacion,y en la pagina ,del saldo de puntos ,le ponia el “carnet no esta en vigor” estoy pensando denunciar,por suplantacion de identidad,porque ademas tengo pruebas.
Escrito por belen | Martes, 17 enero 2012, 17:22Tengo el permiso de conducir desde 1981 lo he renovado el pasado Julio/2011 y en el link que te mandan por correo la DGT despues de poner el NIF y la fecha de Expedicion me dice que “No está como conductor en el sistema”. !! Vaya birria de WEB !!
Escrito por Pedro | Miércoles, 28 septiembre 2011, 19:20deseo saber mi saldo de puntos
Escrito por carlos | Martes, 24 mayo 2011, 12:45Ayer me dió por consultar las puntos en la pág web de la DGT,vaya m…… a parte de que no me deja accerder aningún sitio,me han cambiado la fecha de expedición de mi carnet de conducir,lo saqué en el 2000 y según ellos soy del 83!! encima me han quitado 4 puntos,según sus datos,a mi no me consta ninguna multa.He llamado a DGT y me han dicho que me tengo que personar en oficinas,vivo a 70kms.Que incompetencia,y que indefenso está el ciudadano.
Escrito por NIKA | Miércoles, 16 marzo 2011, 12:34porque el en 83 te sacaria la licencia de ciclomotor
Escrito por toni | Jueves, 17 mayo 2012, 17:28Hola Pedro.
Varias cosas
a) Creo que estas cosas se hablan mejor por privado, pero ya que decides hacerlo en abierto, pues que asà sea.
b) TODOS los artÃculos que publico en mi blog son 100% creación propia; el hecho de que fuera Dvuelta quien denunciase estos hechos es algo totalmente irrelevante a los efectos de la redacción y publicación de este artÃculo. De la misma manera que suelo comentar muchas sanciones y no menciono al denunciante porque es algo que no aporta nada, y menos cuando son entidades privadas, pues les estarÃa haciendo publicidad gratuita.
Que fue Dvuelta quien denunció, sÃ, figura en la propia resolución que cuelgo, no lo oculto.
Que esta noticia es autorÃa de Dvuelta o de El Antirradar, en absoluto, esta noticia es autorÃa mÃa.
De forma que tu solicitud está totalmente fuera de lugar.
Escrito por Samuel Parra | Jueves, 6 enero 2011, 12:26Buenos dÃas,
Soy Pedro Javaloyes, autor del blog El Antirradar, y director de Comunicación de Dvuelta. Esta noticia la lancé yo mismo más o menos hace un año y medio, después de la denuncia que la propia Dvuelta interpuso contra la DGT en la APD, como bien figura en el pdf con el texto de la resolución. Yo mismo le expliqué la noticia a El Mundo, en la que se publicó también la respuesta de la DGT. Me gustarÃa pedir al autor de este blog que mencionase el origen de todo esto, que no es otra cosa que la denuncia de Dvuelta, y que lo hiciese en lugar destacado, ya que la autorÃa de la noticia les corresponde a ellos. Muchas gracias.
Escrito por Pedro Javaloyes | Jueves, 6 enero 2011, 10:13Bueno, que comentar de esto. Mi carnet tiene fecha de del 01/09/08 y según la DGT todavia tengo 8 puntos. alguien sabe como puedo hacer que rectifiquen esto?
Gracias
Escrito por Isabel | Martes, 3 agosto 2010, 16:45Leyéndome el otro dÃa la Ley 11/2007, me enteré de una figura que no conocÃa y que se crea en el artÃculo 7: la del Defensor del usuario de la administración electrónica. No sé si realmente está desarrollado ya el contenido de dicha figura (ya que el propio artÃculo 7, deja abierta la regulación reglamentaria de esta figura), pero en caso de que si que exista y esté desarrollada, serÃa un buen cauce para hacer llegar esto a la DGT ¿no?.
Lo último que he encontrado al respecto es una noticia de Europa Press (http://www.europapress.es/nacional/noticia-gobierno-tiene-mes-crear-figura-defensor-usuario-administracion-electronica-20091129122914.html) que dice que antes del 31/12/2009 estarÃa desarrollado… Luis Salvador
: Samuel Parra dijo:
Escrito por LSM | Lunes, 14 junio 2010, 11:47Para ser coherentes, el DNI deberÃa ser dato suficiente que revele la personalidad.
Escrito por Juan Manuel Dato | Lunes, 14 junio 2010, 11:22Asà es LSM, para identificar al conductor (como el supuesto que indica bufalo1973) te van a hacer falta más datos de los que figuran en ese resguardo de haber pagado la multa.
Escrito por Samuel Parra | Jueves, 20 mayo 2010, 1:52SerÃa un uso simultáneo de las vulnerabilidades de la página. Mediante el código secuencial buscas aleatoriamente una multa, encuentras las 5 o 10 anteriores y, con esa información, vas a la sección de identificación del conductor. Me parece que no me dejo ningún punto. No tienes ni que tener permiso de conducir para hacer eso, porque, lógicamente, si sabes que el código es fecha-secuencia, puedes forjar el código de las multas de enero, por ejemplo, ya que son las que empiezan la serie.
Escrito por bufalo1973 | Miércoles, 19 mayo 2010, 16:49Estamos hablando de que te llega una notificación de que el vehÃculo tal, ha cometido tal infracción… Identifique Usted al conductor para que le multemos a él… Obviamente, entiendo que el único -corrÃgeme Samuel si no es asÃ- que podrá realizar tal comunicación, será el titular del vehÃculo, por tanto, lo podrás hacer desde un cÃber, o desde la IP de tu peor enemigo, pero el que notificará serás tú…
Otra cosa es el tema este de la consulta de puntos, o del recibo del pago de una sanción, que es lo que entiendo por los dos post de Samuel que es lo que vulnera LOPD y demás… ¿no?
Escrito por LSM | Miércoles, 19 mayo 2010, 16:40LSM, ¿y si se hace desde un ciber? Porque, normalmente, el del ciber no te pide ni el DNI ni te grava en vÃdeo. Luego no podrÃa decir nadie que el que ha metido los datos sea el que tiene la multa, porque se podrÃa mirar varias multas consecutivas desde ese ordenador y poner en todas que el conductor es JLRZ. Entonces no podrÃan afirmar que los 10 o 15 infractores son la misma persona.
Escrito por bufalo1973 | Miércoles, 19 mayo 2010, 14:52bufalo1973 dijo:
Si, pero cuidado: notificar un conductor que no era el que conducÃa cuando se cometió la infracción, es también una infracción, y posiblemente, al que sancionarÃan es al que dijo que, por seguir tu ejemplo, José Luis RodrÃguez Zapatero, iba conduciendo el vehÃculo sancionado… porque me imagino que la comunicación del conductor, quedará registrada y por quién se realiza, también ¿no?
Escrito por LSM | Miércoles, 19 mayo 2010, 10:42Se me ocurre una manera de, usando la propia página, hacerles cambiar el sistema: por lo que he visto hay una sección de “identificar al conductor” en las multas. ¿Qué pasarÃa si, de repente, todas las multas fueran a parar a un tal José LuÃs Rodriguez Zapatero, por poner un ejemplo? me imagino que algo tendrÃan que cambiar el sistema.
Escrito por bufalo1973 | Miércoles, 19 mayo 2010, 9:42La razón de la que la AEPD no multe a la DGT, o no emplee ese sistema de inmovilización, es clara. Una administración pública no “sanciona” a otra administración pública. Es como la propia DGT que tampoco “sanciona” los incumplimientos de las CCAA (p. ej. cuando es sancionado dichas CCAA por no informar de quien es el conductor de algún vehÃculo de su propiedad que pudiera haber cometido una infracción). En general, no creo que entre administraciones se “sancionen”.
Es como el Defensor del Pueblo, antes podÃa sancionar a un funcionario -o Administración- si no atendÃa sus requerimientos, y posteriormente se le quitó esa facultad sancionadora. Ese trato desigual tiene alguna explicación, pero aún no tengo claro cual.
Otra cosa es la sanción de una administración a una entidad privada a un ciudadano, ahà si que no hay piedad.
Escrito por Daniel | Miércoles, 5 mayo 2010, 16:46info-derecho dijo:
Lo lógico seria que la Agencia ordenase el cese de ese servicio en tanto no se les dote de las medidas de seguridad necesaria. Y caso de no cesar el servicio, procediese al bloqueo del fichero.
Escrito por Pit | Sábado, 10 abril 2010, 23:34Mientras las reglas no sean iguales para todos, pues pasarán cosas como ésta.
La verdad es que es muy vergonzoso, porque está mostrando lo que hará cualquier entidad no sometida a sanción económica.
Entiendo que la solución serÃa que la Agencia llevase a los tribunales a la DGT, pero eso no va a pasar (por lo que parece).
Escrito por Pablo RodrÃguez | Sábado, 10 abril 2010, 11:42Lo de sostenella y no enmendalla es muy de aquÃ. Lo lógico serÃa vista la respuesta de la DGT que la Agencia de Protección de Datos les crujiese a sanciones hasta que rectificasen. No veo motivo por el que la AEPD deba tener más consideración a la DGT que a una empresa privada.
Escrito por info-derecho | Jueves, 8 abril 2010, 11:44Pep: a mi me pasó lo mismo hasta que caà en la cuenta de que la fecha de expedición de la licencia que estaba poniendo era la de la licencia B (coche) y, anteriormente, habÃa obtenido la A1 (moto). Al introducir esta nueva fecha me deja continuar, pero tras solicitar los datos de e-mail para enviar la clave de acceso me aparece el engorroso mensaje “The website cannot display the page “The webpage cannot be displayed” Lo he intentado en distintas ocasiones en dÃas diferentes y el resultado es siempre el mismo, incluso intentán la modalida “con certificado digital”. ¿Alguien sabe qué puede estar ocurriendo?
Escrito por Miguel Angel | Jueves, 8 abril 2010, 2:43“En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.”
Pues a mi me responde con “El usuario no se encuentra registrado como conductor en el sistema. ”
¿Será el permiso falso?
Escrito por Pep | Lunes, 5 abril 2010, 20:28Creo que en este caso no es sólo la LOPD la que se está incumpliendo, sino que existe más legislación que deberÃa obligar a la DGT a resolver esta situación…
http://secugest.blogspot.com/2010/03/ilegalidades-de-la-dgt.html
Escrito por Joseba Enjuto | Lunes, 29 marzo 2010, 14:48¿No se va a cambiar un sistema que infringe la LOPD porque nadie lo ha usado “de manera perversa”? Lo que importa es que existe la mera posibilidad, que el propio sistema es una fuente de vulnerabilidad para los datos de los ciudadanos.
Escrito por Ã?udea | Viernes, 26 marzo 2010, 23:06Trabajo con Administraciones Públicas y los hechos no me sorprenden aunque sà la respuesta pública al Diario El Mundo. Creo que debemos crear una nueva figura dentro de la gestión de datos de carácter personal, el IRRESPONSABLE de SEGURIDAD. Me resulta todavÃa curioso ver la ingenuidad de los responsables de informática al pensar que “notarán” las consecuencias de un incidente. Me suena a los chistes de Gila de esos de “-Oiga, ?es el enemigo?. Si. – Bueno, mañana a las 9 vamos a atacar…
Escrito por Javier Cao | Lunes, 22 marzo 2010, 18:48Gracias pepe por tu aportación, que pone de manifiesto lo vulnerable que es nuestra intimidad en cuanto empezamos a investigar un poquito…
Escrito por Samuel Parra | Sábado, 20 marzo 2010, 17:50Hola:
Sigo mucho este blog, que me gusta mucho, y de vez en cuando comento algo, sobre todo relacionado con las administraciones publicas, que son las que se suelen saltar la ley con mas frecuencia, como vemos en este tema.
Como ya te dije anteriormente, trabajo en un hotel, por lo que tengo acceso a los documentos de mis clientes. Para registrarse, aparte del dni o pasaporte que es lo mas común, muchas veces se utiliza el carnet de conducir, que también es valido, por lo que yo dispongo de varios documentos de mis clientes que podrÃa utilizar para consultar sus puntos.
Por supuesto que no lo voy a hacer, simplemente lo comento para que veamos todos lo vulnerables que somos ante la privacidad de nuestros datos.
Escrito por pepe | Viernes, 19 marzo 2010, 9:54Me suena que fue por un fichero sanitario…¿puede ser por lo del tema SIDA? no sé no lo recuerdo, pero sà me suena por el tema sanitario….
Escrito por Cristina | Jueves, 18 marzo 2010, 14:59Waldo dijo:
Yo ando justillo de tiempo
pero no lo descarto. Respecto a lo otro, me suena que sobre 2002-2003 se utilizó una vez (la única), pero no te lo aseguro 100%
Escrito por Samuel Parra | Jueves, 18 marzo 2010, 11:50Pues, visto lo visto, sólo queda que alguien haga la prueba y lo denuncie ante la AGPD… Por qué no lo haces, Samuel?… Eso es lo que manifestabas en el artÃculo del El Mundo.
Lo que si que no creo que la AGPD se le ocurra aplicar es la sanción prevista en el art.49 a la que haces referencia de inmovilización del fichero.
En relación con esta sanción de inmovilización de ficheros, ¿se ha impuesto alguna vez por la AGPD?.
Escrito por Waldo | Jueves, 18 marzo 2010, 10:44Estimado Samuel y resto de lectores, esto viene a confirmar el distinto trato que la actual legislación da a los ficheros públicos y privados… ¿Qué ocurrirÃa si una empresa privada adoptara un sistema de autenticación y autentificación como este y lo aplicara a un fichero privado? ¿Qué harÃa la AEPD?… Personalmente creo que no es de recibo, y que además de la responsabilidad patrimonial del Organismo Público una vez que se haya producido el perjuicio económico, en estos casos, como mÃnimo, habrÃa que invocar la responsabilidad de los polÃticos y técnicos que toman (o no toman) las decisiones que provocan estas circunstancias… Porque la responsabilidad patrimonial la asumiremos todos los ciudadanos contribuyentes ¿no?.
Buen fin de semana.
Escrito por LSM | Jueves, 18 marzo 2010, 10:14Estamos acostumbrados a dejar que las AAPP hagan lo que les apetezca desatendiendo olÃmpicamente su responsabilidad y sus obligaciones legales (véanse algunos ejemplos de la Ley 11/2007)… y mientras, la empresa privada, pringando por simples accidentes o desconocimientos.
Y si la AEPD no actúa de oficio, se desacredita a sà misma.
Los ciudadanos somos un buen negocio para la Administración…
Escrito por jc | Miércoles, 17 marzo 2010, 22:31Cuando se trata del administrado, sanción al canto. Cuando se tratade la Administración, no pasa nada.
Mas grave aun es lo que ocurre con el Registro Civil al que se puede acceder por la Web o mas directamente por teléfono para solicitar información, por ejemplo de la tramitación de un expediente de nacionalidad. Sencillamente das un número de DNI y sin ningún otro tipo de comprobación te dan con pelos y señales, todos los datos del expediente. Sin comentarios
Escrito por Guillermo DÃaz | Miércoles, 17 marzo 2010, 19:33Si no les consta, ¿acaso no será porque no lo han mirado?
Si no toman medidas de seguridad, ¿para qué guardar logs o mirar si se han producido accesos automatizados?
Parece interesante como truco para hacer ‘el telépata’ y evangelizar un poco.
Escrito por Ã?ngel | Miércoles, 17 marzo 2010, 18:01Lamentablemente estas noticias dejan de sorprendernos poco a poco…
Total, como no es una empresa privada, les da bastante igual las reprecusiones de una posible sanción.
Escrito por Jorge | Miércoles, 17 marzo 2010, 17:22