h1

La DGT permite acceder a los datos del pago de las multas de otras personas

19/05/2010
Dirección General de Tráfico

Dirección General de Tráfico

Otra vez es Samuel Parra el que nos avisa de un nuevo error en la web de la DGT. En este caso, el sistema permite conocer los sancionados por multas de tráfico y los datos del pago de las multas.

La Dirección General de Tráfico está acumulando una serie de errores en su sede electrónica que amenazan con estigmatizar sus sistemas y minar su reputación. Hace poco conocíamos que la Agencia Española de Protección de Datos había la sancionado por incumplir la ley con su aplicación de consulta de los puntos del carnet, y que a pesar de ello no tenían intención de modificar la aplicación.

Lo que conocemos ahora es un modo sencillo de acceder a los datos de los justificantes de pago de las multas de tráfico. Para ello solo tenemos que conectarnos a la siguiente dirección:

https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf

A continuación, sin solicitar ningún tipo de identificación mediante usuario/password, certificado digital o DNI electrónico, se solicita el número de registro del recibo de pago. Ese número de registro tiene un formato similar a “2010005000113***”. Los cuatro primeros dígitos corresponden al año, y los últimos seis son números secuenciales. Solamente introduciendo este dato, se nos ofrecerá un documento en formato PDF con la siguiente información:

  • Nombre y apellidos (o razón social)
  • DNI/NIE
  • Número de expediente sancionador
  • Fecha de pago
  • Importe de la sanción
  • Número de autorización de la tarjeta
  • Número de operación

Deduciendo el formato de este número, y probando con los números anteriores o posteriores al de nuestra sanción, nos encontramos con los resguardos de otras personas, con sus datos abiertos y sin ningún tipo de protección.

Esto supone, a todas luces, una nueva vulneración de la LOPD, que en sus artículos 9 y 10 establecen que el responsable del fichero debe establecer las medidas técnicas necesarias para garantizar la seguridad de los datos y tiene el deber de guardarlos y mantener su secreto.

Habiendo leyes que regulan desde hace tiempo este tipo de cuestiones (LOPD, LAECSP, Ley 59/2003 de firma electrónica, Esquema Nacional de Seguridad, etc.), habiendo especialistas en informática, en administración electrónica, en legislación de protección de datos, existiendo el Consejo Superior de Administración Electrónica, habiéndose implementado sistemas seguros en otras administraciones (tanto de la AGE como de las administraciones regional y local), llama poderosamente la atención que aparezcan todavía sistemas sin ningún tipo de seguridad y que incumplen de manera tan clara estas normas.

Quizás sea por el hecho de que la Administración pueda decir que no va a modificar un sistema que la AEPD ha declarado ilegal, y aquí no pase nada.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: