Más de 10.000 beneficiarios de una rama local de la agencia francesa de seguridad social Caja de Subsidios Familiares (CAF), vieron sus datos expuestos durante unos 18 meses, después de que un archivo con información personal fuera enviado a un proveedor de servicios.

El error, descubierto por France Info, servicio de información e investigación de Radio France, justo antes de las fiestas de fin de año, podría afectar gravemente a la CAF. La investigación ha revelado que la rama de Gironda (Nouvelle-Aquitaine) envió un fichero con información sensible y personal de 10.204 beneficiarios a un proveedor de servicios encargado de formar a los estadísticos del organismo.

El proveedor niega haber pedido trabajar con información real y, al parecer, la CAF de Gironda no especificó que los datos que se enviaban incluían información sobre los beneficiarios actuales de prestaciones.

Para la transmisión del fichero, se suprimieron los apellidos y nombres de los beneficiarios, así como sus códigos postales, pero se mantuvo mucha otra información: dirección (número y nombre de la calle), fecha de nacimiento, composición del hogar e ingresos, importes y tipos de prestaciones recibidas (subsidio para adultos discapacitados, etc.).

Los datos publicados permitieron identificar a los beneficiarios

Para cada carpeta de expedientes, se disponía de no menos de 181 variables. La supresión de apellidos y nombres no ha dificultado la identificación de los beneficiarios. Los periodistas investigadores pudieron averiguar la identidad de la mayoría de ellos.

Otro error, en este caso cometido por el proveedor de servicios de CAF, fue la publicación del fichero en su página web en marzo de 2021, fecha de la formación. Accesible a todo el mundo, tanto a los agentes de la CAF como a cualquier visitante del sitio, y sin ninguna protección de cifrado, el archivo podía descargarse con un solo clic.

Contactado durante la investigación, el proveedor de servicios se defendió afirmando que no sabía que el archivo CAF contenía información real y no ficticia. Añadió que luego se olvidó de eliminarlo, hasta la semana pasada. Esta noticia suscitó la reacción del grupo de defensa de los derechos digitales La Quadrature du Net, que ya tenía a la CAF en el punto de mira desde hace unos meses, en relación con su algoritmo para calificar a los receptores.

“Esta cesión de datos parece revelar el desprecio de la CAF por nuestros datos personales. O más bien un sentimiento de propiedad de nuestros datos personales por parte de sus responsables, que parecen encontrar normal cederlos sin motivo a proveedores privados… O utilizarlos para desarrollar un algoritmo de puntuación dirigido a los más precarios”, escribe La Quadrature du Net en un comentario publicado en su página web.

“Así, la CAF parece ignorar los principios básicos de la anonimización de los datos personales. Una anonimización adecuada requiere mucho más tratamiento para que no sea posible identificar a las personas a las que se asocian los datos. Por ejemplo, es necesario suprimir, o al menos modificar, la información directamente identificadora (fecha de nacimiento y dirección, por ejemplo)”, según el comentario.

Es muy probable que la agencia francesa de protección de datos CNIL dirija una investigación que, en última instancia, podría desembocar en una sanción por incumplimiento del Reglamento General de Protección de Datos europeo (GDPR).

Por su parte, la Caja Nacional de Subsidios Familiares (CNAF), que supervisa las CAF locales, declaró a France Info que “estos datos nunca deberían haber sido puestos en línea por el proveedor de servicios” y que el documento en cuestión debía tener un uso estrictamente interno. Por ello, la CAF de Gironda será objeto de una investigación interna.

Fuente: cso.computerworld.es

https://cso.computerworld.es/cibercrimen/una-filtracion-expone-los-datos-de-mas-de-10000-beneficiarios-de-la-seguridad-social-francesa