La web de la Dirección General de Tráfico (DGT) tiene habilitado un sistema que permite obtener el resguardo de haber pagado una multa de tráfico. Sin embargo, la información que solicita la DGT para acceder a este documento es tan solo el “número de registro” (nada de certificados digitales o contraseñas), una cifra de unos pocos dÃgitos SECUENCIALES. El resguardo contiene, entre otros datos: nombre y apellidos, NIF, importe de la multa y número de expediente.
La Dirección General de Tráfico (DGT) no se caracteriza precisamente por su preocupación por tratar los datos personales de los ciudadano con unos mÃnimos de seguridad e intimidad: El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.
Un lector anónimo alertaba en el foro de protección de datos sobre la existencia de un mecanismo, que a su juicio, podrÃa vulnerar la Ley Orgánica de Protección de Datos (LOPD).
Tras una breve investigación constato que en efecto, lo que allà afirma es cierto y podrÃa suponer claramente una vulneración de esta Ley Orgánica.
Veamos el problema:
Imaginemos que nos han puesto una multa de tráfico; gracias a la tecnologÃa punta de la que gozamos en este paÃs, desde la sede electrónica de la DGT podremos tramitar su pago.
Una vez finalizado el pago de la misma, se nos informa que podemos descargamos nuestro “duplicado de recibo de pago“, o sea, un resguardo de haber pagado la multa.
Para ello, debemos acudir a esta dirección: https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf
Como es lógico, para acceder a nuestro propio resguardo -y no el del vecino- el sistema nos exige identificarnos ante la Administración, sin embargo no pensemos en complicados certificados electrónicos y complejas claves cuánticas, no, tan solo nos solicita el “número de registro”.
Este número de registro nos lo facilita la propia DGT cuando hemos terminado de pagar la multa de tráfico.
Hasta aquà todo va bien, el problema aparece cuando, sin necesidad de gozar de una inteligencia e imaginación titánica, leemos el número de registro que nos envÃa: 2010005000113***.
Cuando uno recibe ese número de registro y se le invita a introducirlo en esa casilla para obtener el resguardo del pago de la multa, es inevitable probar con un número inmediatamente anterior “a ver que pasa”. Y lo que pasa es que te descargas el resguardo de otra persona. Y entonces descubres que los 4 primeros dÃgitos hacen referencia al año, y que los últimos dÃgitos son secuenciales, desde el 000001 hasta el número que llegue según el número de multas de ese año.
El documento que obtenemos es similar a este.
Este mecanismo es evidente que vulnera los artÃculos 9 y 10 de la LOPD, que establecen:
ArtÃculo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de Ãndole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologÃa, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio fÃsico o natural. ArtÃculo 10. Deber de secreto. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
A la hora de publicar esta información he sufrido un ligero dilema: ¿debÃa hacerlo público sin avisar a la DGT y darles un tiempo a “arreglarlo”? Esto fue lo que hice con este otro problema y sólo tardaron 15 meses en arreglarlo y porque medió una Resolución Sancionadora contra el organismo competente.
Sin embargo este caso es ligeramente diferente: ¿nos encontramos realmente ante un fallo de seguridad por una programación negligente o un código poco depurado? En mi opinión no. No nos encontramos ante un fallo de seguridad porque la DGT era y es plenamente consciente de su sistema de obtención de resguardos; de entre todas las posibilidades que tenÃan han optado por la que hemos visto, voluntariamente. No se requiere ningún mecanismo de intrusión, inyección, o cualesquiera otras técnicas propias de la seguridad informática: simplemente es introducir un número en una casilla que la DGT proporciona al efecto, número que no puede considerarse secreto ni aleatorio.
Por tanto no me veo en la obligación moral de ponerlo en conocimiento de la DGT porque ellos YA LO SABEN; además, teniendo en cuenta cómo (no) resolvieron este asunto no me merecen, desde el punto de vista de la protección de datos de carácter personal, ningún respeto ni condescendencia.
Este sistema de acceso a la información es muy similar a la de consulta de puntos de carnet de conducir (ya declarada ilegal) o al antiguo sistema de cesión de asientos vÃa web del Club de Fútbol Real Madrid, que solicitaba como nombre de usuario el número de socio y como contraseña los 4 últimos caracteres de su número de DNI (también sancionado por la Agencia Española de Protección de Datos en 2008).
Me cogo en los muertos de pere navarro que es un comemierda
Escrito por jorge | Miércoles, 25 enero 2012, 23:56Tengo un local alquilado y me he opuesto a una liquidacion de iva de un local que tengo alquilado, desde la AEAT (hacienda) me ha embargado una cuenta bancaria y han enviado un carta a un ex-inquilino que ya no está en el local informándole de la deuda que tengo con AEAT. Creo que técnicamente esta carta es una “diligencia de embargo de créditos”. Esto es legal? tienen derecho a informar a 3ª personas sobre mis deudas? Puedo pedir daños y perjuicios por esta información negativa que han enviado a una persona (no se si a mas ex.inquilinos) que ya no tienen por que saber mi situación.?
Gracias por tu ayuda
Un saludo
Escrito por JAVI | Sábado, 26 noviembre 2011, 15:42CONSEJOS PARA RECURRIR MULTAS DE TR�FICO
El emule, además de servir para “infringir la ley�, también puede hecharnos una mano para otros menesteres como buscar información.
En este caso, he encontrado un documento escrito un poco en clave de humor explicando un tema interesante para todo conductor: consejos para recurrir multas de tráfico.
No se nada del autor de dicho documento, pero al parecerme de interesante lectura, lo replico integramente. Que lo disfruteis:
1.- JAM�S FIRMES UNA SANCIÓN “EN CALIENTE�.
2.- HASTA QUE TE NOTIFIQUEN DE VERDAD NO HAGAS NADA.
3.- MUCHO CUIDADO CON LA NOTIFICACIÓN.
4.- LEER ATENTAMENTE LA NOTIFICACIÓN.
5.- RECURRIR SIEMPRE (CASI)
6.- RECURRIR ES MUY SENCILLO.
Aunque a mi no me convenga decir esto, no hace falta ser abogado para hacer un recurso administrativo, un buen recurso. Basta con fijarse bien y seguir las instrucciones. En principio las notificaciones de sanciones, de multas llevan en el faldón la posibilidad de presentar un “pliego o escrito de descargosâ€? en plazo de 15 dÃas (ojo no cuentan los domingos y festivos pero sà los sábados), es decir la Administración no puede sancionar sin dar la posibilidad al particular de defenderse y para ello está este trámite. Si no lo presentamos facilitaremos mucho las cosas a la Administración (malo) y dictará la resolución de sanción definitiva con sus propios datos exclusivamente (malÃsimo).
Conclusión: Moléstate cinco minutos y preséntalo.
Escrito por Desguaces Valencia | Miércoles, 31 agosto 2011, 0:53hola a todos,mi pregunta es:tengo una multa y no se de que es,tengo el numero expediente y el numero del articulo de la infraccion,pero no pone de que es,imagino que del radar,espero que alguien me pueda alludar
Escrito por jose f | Martes, 9 agosto 2011, 16:21poner mas cosas interesantes.
Escrito por Juan Francisco | Sábado, 18 junio 2011, 16:46
Escrito por Juan Francisco | Sábado, 18 junio 2011, 16:42quiero consultar Puntos mio
Escrito por Rodolfo H.munar(consultar Puntos) | Martes, 15 marzo 2011, 12:00pues lo que pasan es que si no la pagas y no identificas conductor te meten 900€ y pasan a acienda, acienda te embarga la nomina,la cuenta,tus vienes, por ejemplo a mi se me presento la policia en casa y se llevaron el coche nuevo, para sacarlo tuve que pagar 2000€ que no tenÃa,que por suerte alguien me dejo ,si no los hubiera pagado tendrÃa que estar 3 años pagando un coche que no tengo y todo por unas multas de tráfico ,sin embargo cuando ellos se equibocan no nos pagan intereses ni costas ni recargos y aún nos tenemos que mover nosotros para que nos devuelvan un dinero que es nuestro.
Escrito por oscar | Miércoles, 10 abril 2013, 21:31QE PASA SI NO RECIBO LA NOIFICACION DE UNA MULTA …Y SI LA RECIBO Y NO LA PAGO QE PASA ? ALGUIEN ME PUEDE CONTESTAR , ESTOY SIN TRABAJO Y NO SE QE HACER ,GRASIAS.
Escrito por TONY | Viernes, 18 junio 2010, 11:40Por lo visto ahora han puesto otro campo más como necesario para sacar el duplicado.
Escrito por Marqués | Martes, 1 junio 2010, 17:30podria alguien decirme donde puedo consultar las multas que he tenido en este año, a1º de alo tenia 14 puntos, el dia 7 me pusieron una multa por velocidad y me retiraron 2 puntos y ahora me notifican que me quedan 6 puntos, no me salen las cuenta
Escrito por cristina | Viernes, 21 mayo 2010, 15:05Y también gracias a Loserkid
Escrito por AB | Viernes, 21 mayo 2010, 14:32Muchas gracias Samuel.
Escrito por AB | Viernes, 21 mayo 2010, 14:31Gracias a alertas y denuncias públicas como la tuya la Administración va actuando. Ahora lo deseable es que los miembros a cargo estén también formados y alertas. A ver si hacen también caso en esto.
Escrito por Ã?udea | Viernes, 21 mayo 2010, 11:00SÃ Juan, lo cierto es que es elogiable la velocidad con la que han desactivado la posibilidad de explotar el asunto
Escrito por Samuel Parra | Viernes, 21 mayo 2010, 2:02Vaya con los del tráfico, lo dejan ver todo
Escrito por Destre | Jueves, 20 mayo 2010, 17:38Samuel Parra dijo:
Si es verdad que lo han quitado solo han tardado 19h desde que posteaste esto hasta que angel comenta que lo quitaron de la circulación…
Parece que en algo funciona la administración (quitando valoraciones aparte sobre la decisión inicial de poner eso asÃ)
Escrito por Juan | Jueves, 20 mayo 2010, 16:56angel dijo:
Eso parece, ahora si entras sale este error:
Error de proceso JSP
Código de error HTTP: 404
Mensaje de error:JSPG0036E: No se ha podido encontrar el recurso /jsp/recibo/introducirNumeroRecibo.jsp
Causa principal:java.io.FileNotFoundException: JSPG0036E: No se ha podido encontrar el recurso /jsp/recibo/introducirNumeroRecibo.jsp at com.ibm.ws.jsp.webcontainerext.AbstractJSPExtensionProcessor.findWrapper(AbstractJSPExtensionProcessor.java:301)
(y sigue).
Nada mejor como una denuncia pública para que tarden 48 horas en solucionarlo… (espero)
Escrito por Samuel Parra | Jueves, 20 mayo 2010, 1:54Bueno, parece que te han escuchado y quitado la página. Estarán dandole de collejas a alguno
Escrito por angel | Miércoles, 19 mayo 2010, 17:17Para los que me habéis escrito preguntando que cómo un ciudadano normal que no ha sido multado nunca podrÃa conocer esa secuencia de números para introducir en ese formulario, decir que el “formato” y un ejemplo de número válido lo facilita la propia DGT es su página de ayuda: https://apl.dgt.es/IWPS/help/recibo.html
Por lo que aquà no se está revelando ninguna información que no aparezca ya en la propia página de la DGT.
Escrito por Samuel Parra | Miércoles, 19 mayo 2010, 15:33A mà me pasó esto no hace más de 3 semanas!! Lo descubrÃ, pero no por la causa que tú dices, al parecer cuando elegà que me mandaran un correo con el resguardo, este correo contenÃa un enlace supuestamente con la dirección donde estaba mi resguardo en PDF y que sorpresa que al consultarlo no era mi resguardo si no el de otro, y me lo habÃan mandado a mi correo! Esto es increÃble, tengo una pregunta ¿Es esto denunciable?¿Y en este caso merecerÃa la pena?
Si alguien me puede responder se lo agradecerÃa muchÃsimo, Un saludo.
Escrito por David | Miércoles, 19 mayo 2010, 11:53Bueno, bueno….¿tan dificil serÃa pedir tambien el dni? (como minimo vamos…)
Escrito por angel | Miércoles, 19 mayo 2010, 11:52La verdad que funciona se pueden ver las multas sustituyendo los asteriscos por cualquier número. 2010005000113***
Escrito por David | Miércoles, 19 mayo 2010, 11:42Asà trabaja la Administración y asà va el paÃs. No pasan más cosas porque da la casualidad. Se deberÃan preocupar de los datos personales y confidenciales de los demás un poco más. Una vergüenza.
Escrito por Asesor de Bolsa | Miércoles, 19 mayo 2010, 11:20Esto huele a que el área de desarrollo de la DGI necesita formación inmediata en materia de protección de datos y seguridad de la información …porque no puedo creer que sean tan chapuzas a la hora de generar una contraseña de acceso. Sólo la ignorancia puede justificar semejante negligencia. Ahora la cuestión es como tomarán “tu oportunidad de mejora” porque si hay algo importante es aprender del error y solventarlo. Si de nuevo optan por una actitud arrogante,… algún dÃa el susto será muy gordo porque el enemigo de verdad no avisa.
Escrito por Javier Cao | Miércoles, 19 mayo 2010, 8:57Pues ya sabes el caso que te van a hacer con este artÃculo. El mismo que con el otro.
“Si le molesta ver los puntos de otro, mire para otro lado”
Escrito por Alejandro Valdezate | Miércoles, 19 mayo 2010, 8:52