El Gobierno de la Comunidad de Madrid, que dirige la popular Isabel Díaz Ayuso, vuelve a ser noticia por un nuevo atropello en los derechos de sus ciudadanos. Tal y como informa ‘Diario 16’, la Agencia Española de Protección de Datos (AEPD) ha sancionado al Ejecutivo madrileño por un fallo de seguridad en la web de autocitas para la vacunación contra la COVID-19.

Un error que se produjo en junio del año pasado y que dejaba al descubierto cualquier dato (nombre completo, DNI, número de teléfono, fecha de nacimiento, viviendas donde ha residido…) de todas las personas que hubieran solicitado cita para vacunarse contra el coronavirus.

Dicha información la adelantaba en exclusiva Telemadrid, que además añadía que fruto de ese fallo de seguridad, habían quedado expuestos también los datos de Felipe VI, Pedro Sánchez, José María Aznar o Pablo Iglesias, entre otros. Sin embargo, la Comunidad de Madrid, que entonces ya se había erguido como una suerte de dique de contención contra la gestión de la pandemia por parte del Gobierno central, se movilizó rápidamente para desmentir y negar la información.

La Comunidad desmintió la información señalando directamente a Telemadrid

“Stop bulos. Esto es falso”, escribía la cuenta oficial de la Comunidad de Madrid en Twitter, señalando directamente a Telemadrid. Por su parte, Alfonso Serrano, entonces portavoz del PP, tildaba la noticia de “información sesgada”, “totalmente falsa” e “impropia de algunos medios de comunicación”, en alusión directa a la cadena pública madrileña.


De hecho, tras la polémica, el Gobierno de Ayuso decidió remodelar el organigrama de Telemadrid con el objetivo de conseguir una mayor influencia en la cadena, aunque fuera a costa de perder credibilidad y audiencia.

La resolución de la AEPD

Volviendo a la sentencia de la AEPD, la resolución de la misma recoge hasta cuatro apercibimientos contra la Consejería de Sanidad de la Comunidad de Madrid, que dirige Enrique Ruiz Escudero, por reiteradas vulneraciones del Reglamento General de Protección de Datos (RGPD) –en concreto los artículos 5.1, 25, 32 y 33-.

“Esta agencia constata que, de hecho, los incidentes sí llegaron a materializarse, que se detectó un fallo en el sistema, debido a una exposición de información de datos personales (públicos) accedidos mediante una cookie de sesión válida, y editando la URL accedida uno de los campos de entrada llamado idPaciente con un DNI válido. Adicionalmente se constató que la aplicación web contaba con mecanismos de bloqueo insuficientes ante reintentos a la hora de introducir los datos de autenticación”, señala la AEPD.

Asimismo, la AEPD también subraya que tras conocer la denuncia de FACUA, se intentaron poner en contacto con la Consejería para investigar el tema, solicitando inspeccionar los datos. Sin embargo, el departamento de Ruiz Escudero no dio respuesta alguna. Ante esta negativa a cooperar, la Agencia amenazó con iniciar un procedimiento sancionador. Fue entonces cuando la Comunidad dio señales de vida y alegó que no habían informado a la AEPD porque “no resultaba preceptivo” puesto que no se tenía “constancia de que ningún ciudadano haya sufrido consecuencias negativas”.