La plataforma suiza para el carné de vacunación digital debe cerrar

En Suiza se ha puesto en marcha una solución de cartilla de vacunación digital con el sitio web "meineimpfungen.ch". Esto fue promovido por la Oficina Federal de Salud Pública. Después de todo, especialmente en la situación actual, debería hacer que la vacunación Covid 19 fuera fácilmente verificable. Por ejemplo, debería permitir a los suizos ir de vacaciones cuando la prueba de vacunación lo haga posible.

Pero fue precisamente en el módulo creado a tal efecto donde las cosas salieron tan mal.

Lagunas de seguridad

Ya en marzo se supo que la plataforma tenía importantes vulnerabilidades de seguridad.

La idea básica era que los ciudadanos pudieran entrar aquí de la forma más sencilla posible cuando estuvieran vacunados y comprobar por sí mismos qué vacunas les podían faltar. Se trata de datos personales de una categoría especial según el art. 9 I DSGVO. Se aseguró a los usuarios que el acceso a estos datos por parte de terceros (como el personal médico) sólo sería posible con su consentimiento.

Por desgracia, la realidad era muy distinta: Cualquiera que lo deseara podía registrarse como médico en la plataforma sin pasar por ningún otro control y ver entonces todos los datos de los usuarios. La identificación del usuario era un simple sello de tiempo de la fecha de registro, de modo que se podía obtener fácilmente la cartilla de vacunación de un usuario por ensayo y error. Los números de identificación necesarios para registrarse como médico se encuentran en un directorio de acceso público en Suiza, por lo que podrían utilizarse fácilmente para fines propios.

Con un poco más de conocimientos técnicos, también debería haber sido posible acceder a la plataforma a través de la función de restablecimiento de contraseña.

Además de la posibilidad de registrarse como médico falso y ver los datos, también habría sido posible modificarlos. Se dice que fue posible trasladar a personas a grupos de riesgo o manipular los registros de vacunación.

Esto no sólo socava todo el propósito del portal, sino que también es una violación significativa de la protección de datos de los usuarios.

La burocracia

Ante estas acusaciones, el operador desconectó inicialmente la plataforma para corregir los errores. Sin embargo, muchos usuarios ya habían perdido la confianza y querían borrar sus datos. A cambio, el operador exigía una copia compulsada de un documento de identidad, que costaría al usuario el equivalente a unos 13 euros, así como más datos personales y, en el caso de los menores, una confirmación de custodia. El operador se negó a pagar estos costes. Tan pronto como la plataforma volviera a estar en línea, el borrado podría hacerlo cada usuario por sí mismo, dijo el operador.

Sin embargo, esto nunca ocurrió. El operador no pudo reanudar el funcionamiento del sitio web. Aún no hay solución para que los usuarios recuperen sus datos.

En este caso, derechos muy básicos de los interesados en virtud del RGPD se ven dificultados y, al final, prácticamente denegados.

Ya se han incoado procedimientos de supervisión contra los operadores.

El Parlamento suizo no considera que la plataforma cumpla las normas establecidas para una solución de pasaporte de vacunación digital por la recién aprobada ley suiza Covid-19, lo que no es de extrañar.

Queda por ver qué otras medidas se tomarán (contra el operador).