Más de 10.000 usuarios de la agencia francesa de la Seguridad Social, CAF, han tenido sus datos expuestos durante casi un año y medio. Esta fuga de datos se produjo después de que se enviara un archivo con información personal a un proveedor de servicios.
Más de 10.000 beneficiarios de una sucursal local de la agencia francesa de la Seguridad Social, CAF (Caisse d’allocations familiales), han visto sus datos expuestos durante aproximadamente 18 meses, después de enviar un archivo que contenía información personal a un proveedor de servicios.
El error, descubierto por France Info, el servicio de noticias e investigación de Radio France, podría afectar duramente al organismo. Según la investigación llevada a cabo, la CAF en Gironde (Nouvelle-Aquitaine) envió un archivo que contenía información sensible y personal de 10.204 usuarios a un proveedor de servicios. Este proveedor es el responsable de capacitar a los profesionales encargados de las estadísticas en la organización.
El proveedor niega haber pedido trabajar con información real, y la CAF de Gironde no ha especificado si los datos que se enviaron a este proveedor incluían información sobre los beneficiarios actuales de las prestaciones.
Para tramitar el expediente se eliminaron los apellidos y nombres de los usuarios, así como sus códigos postales. Sin embargo, quedó mucha otra información como la dirección completa, la fecha de nacimiento, composición del hogar e ingresos, así como montantes y tipos de beneficios recibidos, entre otros.
Los datos publicados permitieron la identificación de los beneficiarios de las prestaciones.
Para cada carpeta de archivos, estaban disponibles al menos 181 variables. Además, la supresión de apellidos y nombres no ha impedido la identificación de los destinatarios ya que los investigadores han podido encontrar la identidad de la mayoría de ellos.
Buscando responsables de la fuga de datos
Otro error, en este caso del prestador de servicios de CAF, ha sido la publicación del expediente en su sitio web en marzo de 2021. Accesible para todos, tanto para los agentes de la CAF como para cualquiera que visitara la página web, y sin ninguna protección de cifrado, el archivo se podía descargar con un solo clic.
Durante la investigación, el prestador de servicios se ha defendido afirmando que no sabía que el expediente de la CAF contenía información real y no ficticia. Asimismo, apunta que después se olvidó de quitarlo, hasta la semana pasada. Esta noticia ha provocado una reacción del grupo de defensa de los derechos digitales La Quadrature du Net, que ya tenía a CAF en el punto de mira desde hace meses por su algoritmo para calificar a los destinatarios de las prestaciones.
De acuerdo con este grupo, «esta cesión de datos parece revelar el desprecio que tiene CAF por nuestros datos personales. O más bien un sentimiento de propiedad de nuestros datos personales por parte de sus responsables, a quienes parece normal cederlos sin ningún motivo a proveedores privados».
En este sentido, destacan la gravedad que supone ignorar los principios básicos de mantener en el anonimato los datos personales.
Ante estos hechos, es muy probable que la agencia francesa de protección de datos, CNIL, dirija una investigación que, en última instancia, podría resultar en una sanción por incumplimiento del RGPD.
Por su parte, el CNAF, el Fondo Nacional de Asignaciones Familiares, que supervisa los CAF locales, ha manifestado que el proveedor de servicios nunca debería haber puesto online estos datos y que el documento en cuestión tenía un uso estrictamente interno.
Se espera que la investigación aclare todos estos hechos.
