La web de entradas a la Alhambra deja al descubierto datos de 4,5 millones de visitantes

Facua-Consumidores en Acción ha denunciado al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) por “dejar al descubierto” datos personales y financieros de 4,5 millones de visitantes y casi mil agencias de viajes por un fallo en su web oficial de entradas.

Esta denuncia coincide con la solicitud efectuada por el patronato que gestiona el recinto monumental granadino a la empresa encargada de gestionar dicha web de un informe sobre el error de seguridad detectado por un grupo de “hackers”, además de una auditoría tanto interna como externa de su gestión.

En su denuncia, la asociación recuerda que, de acuerdo a la normativa europea vigente, el tratamiento de los datos personales sólo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona o por interés público.

Facua indica también en un comunicado que las infracciones que supongan una vulneración sustancial de lo que aparece recogido en el artículo 6 del Reglamento de la UE están consideradas como “muy graves”, de acuerdo a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. La asociación pone de manifiesto en su escrito también que el Patronato, al conocer la irregularidad, debería haber comunicado lo ocurrido a la AEPD y a todos los usuarios que podrían verse afectados, “a más tardar 72 horas después de que haya tenido constancia de ello"

El Patronato de la Alhambra y Generalife ha recibido en la tarde de este miércoles el informe preliminar realizado por la empresa adjudicataria de la gestión integral de reserva y venta de entradas, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, que ha indicado que “no ha habido un acceso a datos de carácter personal” en el incidente de seguridad detectado recientemente en la web oficial por la que se presta el servicio.

En dicho informe preliminar, y tras las investigaciones realizadas y las acciones aplicadas por la empresa adjudicataria del servicio, se constata la existencia de un incidente de seguridad, “que ya se ha corregido”, pero no que “haya habido un acceso a datos de carácter personal”, ni que dicho suceso se pueda calificar como “brecha de confidencialidad en los términos de la normativa vigente”.

En todo caso, y sin perjuicio de las posteriores investigaciones que se realizarán para averiguar el origen, impacto y posible difusión a terceros de datos personales, el informe recomienda efectuar una comunicación de la incidencia a la Agencia Española de Protección de Datos. En dicho informe también se indica que el posible intento de acceso a la base de datos “se habría efectuado entre los días 18 al 22 de febrero”.

No obstante, y con el objetivo de esclarecer lo antes posible lo ocurrido y evitar posibles incidentes futuros, el Patronato de la Alhambra y Generalife, que “ha lamentado lo ocurrido y confía que en breve todo quede resuelto,” continuará con las acciones anunciadas este miércoles, entre las que se incluye una auditoria interna y externa por parte de la empresa adjudicataria del servicio que garantice que el sistema sea “seguro y eficaz”. También que “evite cualquier tipo de ataque y dé cumplimiento del esquema nacional de seguridad, tal y como exige el pliego de prescripciones técnicas del contrato”.

Por su parte, la empresa, en un comunicado remitido a los medios, ha aludido a que el sistema ha sido “víctima de un ataque informático profesional y organizado, cuyo origen e interés se desconoce de momento y va a ser puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado”. 

La UTE Hiberus Sicomoro ha indicado que, “en el mismo momento en que se tuvo conocimiento de un incidente en la seguridad, se activaron todos los protocolos previstos, de tal modo que la vulnerabilidad se subsanó de forma inmediata mediante un refuerzo de la seguridad que evitó así cualquier nuevo intento de intromisión informática”.

“Los trabajos continúan por precaución por los equipos de protección de datos, los equipos técnicos y peritos externos siguen investigando en profundidad para conocer la dimensión concreta de este incidente”, ha concluido.

Agencias, Granada