El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar

El sistema que ofrece la DGT en su página web para que el ciudadano pueda consultar sus puntos del carnet fue declarado hace más de un año ilegal por la Agencia Española de Protección de Datos al no garantizar la privacidad de los datos accesibles. No obstante, los responsables del sistema en la DGT afirman que no les consta que nadie haya hecho un uso perverso del sistema (accediendo a datos de terceros), por lo que no lo van a cambiar.

El 24 de febrero de 2009 la Agencia Española de Protección de Datos declaró en la Resolución 00372/2009 que

“La Dirección General de Tráfico está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales contenidos en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al posibilitar que por parte de terceros se pudiera acceder, a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.”

Se declaraba infringido por tanto el artículo 9 de la Ley Orgánica de Protección de Datos, como infracción grave, y en consecuencia, se le requería para que adoptase las medidas oportunas para atajar esta situación.

Pero antes de continuar, contiene responder ¿por qué el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?

Veamos, para consultar los puntos hay dos vías: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vía.

Si un ciudadano decide consultar sus puntos sin utilizar certificado digital deberá seguir estas instrucciones que yo resumo de la siguiente manera:

  • 1º: Introduce el NIF.
  • 2º: Introduce la fecha de expedición del primer carnet de conducir.

Si el NIF coincide con la fecha, continúa el proceso:

  • 3º: Introduce tu dirección de correo electrónico (cualquiera, una en @hotmail, @gmail o donde quieras)
  • 4º: Recibe en tu correo electrónico la clave de acceso para consultar los puntos.

El avispado lector habitual de este blog ya debe percibir dónde está el problema.

En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.

El problema, según la Agencia Española de Protección de Datos (y creo que según cualquier ciudadano medio) se encuentra en la primera fase del proceso: NIF + fecha.

Si queremos curiosear los puntos de cualquier ciudadano solo debemos conocer su NIF (nada difícil hoy en día gracias a los Boletines Oficiales, los buscadores de Internet, etc, o simplemente probamos uno al azar) y luego “descubrir” la fecha, que a estos efectos, haría las veces de “contraseña”.

Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas y menos aun si conoces aproximadamente la edad de la víctima, ya que lo habitual es sacarse el carnet entre los 16 y los 25 años de edad.
Si nos encontramos en este último supuesto estamos hablamos de un total de unas 3650 combinaciones posibles como máximo, menos si quitamos domingos y festivos ya que no sería posible haber obtenido el carnet en uno de esos días.

En la era de informática y la automatización el atacante no estaría toda la mañana probando una a una esas 3650 combinaciones sino que haría un pequeño programa o utilizaría algunos plugins para el Firefox para que el ordenador lo hiciera por él a velocidad ultra-rápida. 3650 combinaciones sería posible probarlas en menos de 15 minutos.

Por supuesto no hay un límite máximo de intentos fallidos al introducir la fecha de expedición, tenemos intentos ilimitados.

Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica: indicamos la que nos acabamos de abrir en Hotmail a nombre de Superman; en breves minutos recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de nuestro vecino, del político o famosete de turno. Es más, si el usuario ya tenía su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.

Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos vuelve el nombre y apellidos de esa persona. Un usuario malintencionado podría dejar durante varios días funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.

Como decía al principio, esto ha sido declarado ilegal por la AEPD, pero ¿la DGT lo va a cambiar para garantizar la intimidad de los ciudadanos? NO.

Luis de Eusebio, responsable de informática de la DGT, en declaraciones realizadas a El Mundo, afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.”

Y El Mundo añade:

“El responsable de informática de la DGT, Luis de Eusebio, aclara que el sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”

Nadie debería asombrarse; en este país estamos acostumbrados a que se aborden cuestiones relativas a la seguridad una vez que ya se han producido los daños, eso de la “prevención” no se lleva. Y es lo que precisamente dice la DGT, hasta que no conste que un tercero ha accedido a los puntos de otra persona no van a cambiar nada. Eso sí, cuando esto ocurra, entonces se podrá exigir responsabilidad patrimonial a la Administración por negligencia en la custodia de la información personal que trata en sus ficheros.

Pero más grave me parece que una Administración, como la DGT, consciente de la ilegalidad de uno de sus servicios, se abstenga de solucionarlo esgrimiendo que “todavía no ha pasado nada”.

La AEPD de hecho tiene competencias para evitar coactivamente esta situación ilegal por parte de la DGT, el artículo 49 de la LOPD indica:

“En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.”

La AEPD podría inmovilizar ese tratamiento de datos ¿alguien se anima a requerirlo expresamente?

¿Por qué publicar esto ahora y no hace un año? He preferido esperar a ver si las declaraciones que aparecían en el medio de comunicación se cumplían o no, en otras palabras, he estimado que si en un año no han cambiado el sistema a pesar del requerimiento de la AEPD, es que efectivamente no lo van a cambiar hasta que “pase algo”. Y ESTO ES LO QUE CONSIDERO RELEVANTE.

Descargar resolución de la AEPD declarando ilegal el sistema de consulta de puntos de la DGT.

49 comentarios en “El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar”

  1. Pingback: joneame.net
  2. Lamentablemente estas noticias dejan de sorprendernos poco a poco…
    Total, como no es una empresa privada, les da bastante igual las reprecusiones de una posible sanción.

    Responder
  3. Si no les consta, ¿acaso no será porque no lo han mirado?
    Si no toman medidas de seguridad, ¿para qué guardar logs o mirar si se han producido accesos automatizados?
    Parece interesante como truco para hacer ‘el telépata’ y evangelizar un poco.

    Responder
  4. Cuando se trata del administrado, sanción al canto. Cuando se tratade la Administración, no pasa nada.

    Mas grave aun es lo que ocurre con el Registro Civil al que se puede acceder por la Web o mas directamente por teléfono para solicitar información, por ejemplo de la tramitación de un expediente de nacionalidad. Sencillamente das un número de DNI y sin ningún otro tipo de comprobación te dan con pelos y señales, todos los datos del expediente. Sin comentarios

    Responder
  5. Estamos acostumbrados a dejar que las AAPP hagan lo que les apetezca desatendiendo olímpicamente su responsabilidad y sus obligaciones legales (véanse algunos ejemplos de la Ley 11/2007)… y mientras, la empresa privada, pringando por simples accidentes o desconocimientos.

    Y si la AEPD no actúa de oficio, se desacredita a sí misma.

    Los ciudadanos somos un buen negocio para la Administración…

    Responder
  6. Estimado Samuel y resto de lectores, esto viene a confirmar el distinto trato que la actual legislación da a los ficheros públicos y privados… ¿Qué ocurriría si una empresa privada adoptara un sistema de autenticación y autentificación como este y lo aplicara a un fichero privado? ¿Qué haría la AEPD?… Personalmente creo que no es de recibo, y que además de la responsabilidad patrimonial del Organismo Público una vez que se haya producido el perjuicio económico, en estos casos, como mínimo, habría que invocar la responsabilidad de los políticos y técnicos que toman (o no toman) las decisiones que provocan estas circunstancias… Porque la responsabilidad patrimonial la asumiremos todos los ciudadanos contribuyentes ¿no?.

    Buen fin de semana.

    Responder
  7. Pues, visto lo visto, sólo queda que alguien haga la prueba y lo denuncie ante la AGPD… Por qué no lo haces, Samuel?… Eso es lo que manifestabas en el artículo del El Mundo.

    Lo que si que no creo que la AGPD se le ocurra aplicar es la sanción prevista en el art.49 a la que haces referencia de inmovilización del fichero.
    En relación con esta sanción de inmovilización de ficheros, ¿se ha impuesto alguna vez por la AGPD?.

    Responder
  8. Waldo dijo:

    Pues, visto lo visto, sólo queda que alguien haga la prueba y lo denuncie ante la AGPD… Por qué no lo haces, Samuel?… Eso es lo que manifestabas en el artículo del El Mundo.
    Lo que si que no creo que la AGPD se le ocurra aplicar es la sanción prevista en el art.49 a la que haces referencia de inmovilización del fichero.
    En relación con esta sanción de inmovilización de ficheros, ¿se ha impuesto alguna vez por la AGPD?.

    Yo ando justillo de tiempo 🙁 pero no lo descarto. Respecto a lo otro, me suena que sobre 2002-2003 se utilizó una vez (la única), pero no te lo aseguro 100%

    Responder
  9. Me suena que fue por un fichero sanitario…¿puede ser por lo del tema SIDA? no sé no lo recuerdo, pero sí me suena por el tema sanitario….

    Responder
  10. Hola:
    Sigo mucho este blog, que me gusta mucho, y de vez en cuando comento algo, sobre todo relacionado con las administraciones publicas, que son las que se suelen saltar la ley con mas frecuencia, como vemos en este tema.
    Como ya te dije anteriormente, trabajo en un hotel, por lo que tengo acceso a los documentos de mis clientes. Para registrarse, aparte del dni o pasaporte que es lo mas común, muchas veces se utiliza el carnet de conducir, que también es valido, por lo que yo dispongo de varios documentos de mis clientes que podría utilizar para consultar sus puntos.
    Por supuesto que no lo voy a hacer, simplemente lo comento para que veamos todos lo vulnerables que somos ante la privacidad de nuestros datos.

    Responder
  11. Trabajo con Administraciones Públicas y los hechos no me sorprenden aunque sí la respuesta pública al Diario El Mundo. Creo que debemos crear una nueva figura dentro de la gestión de datos de carácter personal, el IRRESPONSABLE de SEGURIDAD. Me resulta todavía curioso ver la ingenuidad de los responsables de informática al pensar que “notarán” las consecuencias de un incidente. Me suena a los chistes de Gila de esos de “-Oiga, ?es el enemigo?. Si. – Bueno, mañana a las 9 vamos a atacar…

    Responder
  12. ¿No se va a cambiar un sistema que infringe la LOPD porque nadie lo ha usado “de manera perversa”? Lo que importa es que existe la mera posibilidad, que el propio sistema es una fuente de vulnerabilidad para los datos de los ciudadanos.

    Responder
  13. “En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.”

    Pues a mi me responde con “El usuario no se encuentra registrado como conductor en el sistema. ”

    ¿Será el permiso falso?

    Responder
  14. Pep: a mi me pasó lo mismo hasta que caí en la cuenta de que la fecha de expedición de la licencia que estaba poniendo era la de la licencia B (coche) y, anteriormente, había obtenido la A1 (moto). Al introducir esta nueva fecha me deja continuar, pero tras solicitar los datos de e-mail para enviar la clave de acceso me aparece el engorroso mensaje “The website cannot display the page “The webpage cannot be displayed” Lo he intentado en distintas ocasiones en días diferentes y el resultado es siempre el mismo, incluso intentán la modalida “con certificado digital”. ¿Alguien sabe qué puede estar ocurriendo?

    Responder
  15. Lo de sostenella y no enmendalla es muy de aquí. Lo lógico sería vista la respuesta de la DGT que la Agencia de Protección de Datos les crujiese a sanciones hasta que rectificasen. No veo motivo por el que la AEPD deba tener más consideración a la DGT que a una empresa privada.

    Responder
  16. Mientras las reglas no sean iguales para todos, pues pasarán cosas como ésta.

    La verdad es que es muy vergonzoso, porque está mostrando lo que hará cualquier entidad no sometida a sanción económica.

    Entiendo que la solución sería que la Agencia llevase a los tribunales a la DGT, pero eso no va a pasar (por lo que parece).

    Responder
  17. info-derecho dijo:

    Lo de sostenella y no enmendalla es muy de aquí. Lo lógico sería vista la respuesta de la DGT que la Agencia de Protección de Datos les crujiese a sanciones hasta que rectificasen. No veo motivo por el que la AEPD deba tener más consideración a la DGT que a una empresa privada.

    Lo lógico seria que la Agencia ordenase el cese de ese servicio en tanto no se les dote de las medidas de seguridad necesaria. Y caso de no cesar el servicio, procediese al bloqueo del fichero.

    Responder
  18. La razón de la que la AEPD no multe a la DGT, o no emplee ese sistema de inmovilización, es clara. Una administración pública no “sanciona” a otra administración pública. Es como la propia DGT que tampoco “sanciona” los incumplimientos de las CCAA (p. ej. cuando es sancionado dichas CCAA por no informar de quien es el conductor de algún vehículo de su propiedad que pudiera haber cometido una infracción). En general, no creo que entre administraciones se “sancionen”.
    Es como el Defensor del Pueblo, antes podía sancionar a un funcionario -o Administración- si no atendía sus requerimientos, y posteriormente se le quitó esa facultad sancionadora. Ese trato desigual tiene alguna explicación, pero aún no tengo claro cual.
    Otra cosa es la sanción de una administración a una entidad privada a un ciudadano, ahí si que no hay piedad.

    Responder
  19. Se me ocurre una manera de, usando la propia página, hacerles cambiar el sistema: por lo que he visto hay una sección de “identificar al conductor” en las multas. ¿Qué pasaría si, de repente, todas las multas fueran a parar a un tal José Luís Rodriguez Zapatero, por poner un ejemplo? me imagino que algo tendrían que cambiar el sistema.

    Responder
  20. bufalo1973 dijo:

    Se me ocurre una manera de, usando la propia página, hacerles cambiar el sistema: por lo que he visto hay una sección de “identificar al conductorâ€? en las multas. ¿Qué pasaría si, de repente, todas las multas fueran a parar a un tal José Luís Rodriguez Zapatero, por poner un ejemplo? me imagino que algo tendrían que cambiar el sistema.

    Si, pero cuidado: notificar un conductor que no era el que conducía cuando se cometió la infracción, es también una infracción, y posiblemente, al que sancionarían es al que dijo que, por seguir tu ejemplo, José Luis Rodríguez Zapatero, iba conduciendo el vehículo sancionado… porque me imagino que la comunicación del conductor, quedará registrada y por quién se realiza, también ¿no?

    Responder
  21. LSM, ¿y si se hace desde un ciber? Porque, normalmente, el del ciber no te pide ni el DNI ni te grava en vídeo. Luego no podría decir nadie que el que ha metido los datos sea el que tiene la multa, porque se podría mirar varias multas consecutivas desde ese ordenador y poner en todas que el conductor es JLRZ. Entonces no podrían afirmar que los 10 o 15 infractores son la misma persona.

    Responder
  22. Estamos hablando de que te llega una notificación de que el vehículo tal, ha cometido tal infracción… Identifique Usted al conductor para que le multemos a él… Obviamente, entiendo que el único -corrígeme Samuel si no es así- que podrá realizar tal comunicación, será el titular del vehículo, por tanto, lo podrás hacer desde un cíber, o desde la IP de tu peor enemigo, pero el que notificará serás tú…
    Otra cosa es el tema este de la consulta de puntos, o del recibo del pago de una sanción, que es lo que entiendo por los dos post de Samuel que es lo que vulnera LOPD y demás… ¿no?

    Responder
  23. Sería un uso simultáneo de las vulnerabilidades de la página. Mediante el código secuencial buscas aleatoriamente una multa, encuentras las 5 o 10 anteriores y, con esa información, vas a la sección de identificación del conductor. Me parece que no me dejo ningún punto. No tienes ni que tener permiso de conducir para hacer eso, porque, lógicamente, si sabes que el código es fecha-secuencia, puedes forjar el código de las multas de enero, por ejemplo, ya que son las que empiezan la serie.

    Responder
  24. Leyéndome el otro día la Ley 11/2007, me enteré de una figura que no conocía y que se crea en el artículo 7: la del Defensor del usuario de la administración electrónica. No sé si realmente está desarrollado ya el contenido de dicha figura (ya que el propio artículo 7, deja abierta la regulación reglamentaria de esta figura), pero en caso de que si que exista y esté desarrollada, sería un buen cauce para hacer llegar esto a la DGT ¿no?.
    Lo último que he encontrado al respecto es una noticia de Europa Press (http://www.europapress.es/nacional/noticia-gobierno-tiene-mes-crear-figura-defensor-usuario-administracion-electronica-20091129122914.html) que dice que antes del 31/12/2009 estaría desarrollado… Luis Salvador
    : Samuel Parra dijo:

    Waldo dijo:
    Pues, visto lo visto, sólo queda que alguien haga la prueba y lo denuncie ante la AGPD… Por qué no lo haces, Samuel?… Eso es lo que manifestabas en el artículo del El Mundo.
    Lo que si que no creo que la AGPD se le ocurra aplicar es la sanción prevista en el art.49 a la que haces referencia de inmovilización del fichero.
    En relación con esta sanción de inmovilización de ficheros, ¿se ha impuesto alguna vez por la AGPD?.Yo ando justillo de tiempo pero no lo descarto. Respecto a lo otro, me suena que sobre 2002-2003 se utilizó una vez (la única), pero no te lo aseguro 100%

    Responder
  25. Bueno, que comentar de esto. Mi carnet tiene fecha de del 01/09/08 y según la DGT todavia tengo 8 puntos. alguien sabe como puedo hacer que rectifiquen esto?

    Gracias

    Responder
  26. Buenos días,

    Soy Pedro Javaloyes, autor del blog El Antirradar, y director de Comunicación de Dvuelta. Esta noticia la lancé yo mismo más o menos hace un año y medio, después de la denuncia que la propia Dvuelta interpuso contra la DGT en la APD, como bien figura en el pdf con el texto de la resolución. Yo mismo le expliqué la noticia a El Mundo, en la que se publicó también la respuesta de la DGT. Me gustaría pedir al autor de este blog que mencionase el origen de todo esto, que no es otra cosa que la denuncia de Dvuelta, y que lo hiciese en lugar destacado, ya que la autoría de la noticia les corresponde a ellos. Muchas gracias.

    Responder
  27. Hola Pedro.
    Varias cosas

    a) Creo que estas cosas se hablan mejor por privado, pero ya que decides hacerlo en abierto, pues que así sea.

    b) TODOS los artículos que publico en mi blog son 100% creación propia; el hecho de que fuera Dvuelta quien denunciase estos hechos es algo totalmente irrelevante a los efectos de la redacción y publicación de este artículo. De la misma manera que suelo comentar muchas sanciones y no menciono al denunciante porque es algo que no aporta nada, y menos cuando son entidades privadas, pues les estaría haciendo publicidad gratuita.

    Que fue Dvuelta quien denunció, sí, figura en la propia resolución que cuelgo, no lo oculto.
    Que esta noticia es autoría de Dvuelta o de El Antirradar, en absoluto, esta noticia es autoría mía.

    De forma que tu solicitud está totalmente fuera de lugar.

    Responder
  28. Ayer me dió por consultar las puntos en la pág web de la DGT,vaya m…… a parte de que no me deja accerder aningún sitio,me han cambiado la fecha de expedición de mi carnet de conducir,lo saqué en el 2000 y según ellos soy del 83!! encima me han quitado 4 puntos,según sus datos,a mi no me consta ninguna multa.He llamado a DGT y me han dicho que me tengo que personar en oficinas,vivo a 70kms.Que incompetencia,y que indefenso está el ciudadano.

    Responder
  29. Tengo el permiso de conducir desde 1981 lo he renovado el pasado Julio/2011 y en el link que te mandan por correo la DGT despues de poner el NIF y la fecha de Expedicion me dice que “No está como conductor en el sistema”. !! Vaya birria de WEB !!

    Responder
  30. hola¡ no se si es el caso ,pero la exjefa de mi marido si entro ,porque tenia el nº de dni ,y la fotocopia del carnet de conducir,gracias a eso le costo el despido ,improcedente (claro),cambio contraseña y ya,porque se le pasara 1 semana la renovacion,y en la pagina ,del saldo de puntos ,le ponia el “carnet no esta en vigor” estoy pensando denunciar,por suplantacion de identidad,porque ademas tengo pruebas.

    Responder
  31. hola no puedo mirar los puntos que tengo porque puse la clave de acceso en otro correo electronico como recibirlo en el actual

    Responder
  32. he perdido todos mis puntos y no lo sabia,si es verdad que sabia haber perdido algunos,pero la dgt no me ha notificado la perdida de todos y el resultado ha sido pasar toda la noche en el calabozo y tener un juicio, no lo justo,gracias por este espacio.

    Responder
  33. Cuando consulto mi saldo de puntos me pone: El usuario no se encuentra registrado como conductor en el sistema. Quiero saber que significa esto. alguien me lo puede decir? Gracias.

    Responder
  34. Quisiera saber como puedo entrar en la pagina web de la dgt pero que sea autentica para consultar mi saldo de puntos , ya que las paginas que yo e consultado me dicen que no tengo el permiso en vigor . Eso es falso ya que lo tengo renovado en julio del 2014 haber si alguien me puede ayudar GRACIAS

    Responder

Deja un comentario