• Des de feia dos anys s'havia deixat en desús el protocol de control per detectar incidències
• La ministra i Delgado havien assegurat als consellers que cada dimecres es feia revisió

Popularment ha quedat com una fuita de dades del portal de la CASS. Sortosament no va ser així del tot, però l'escàndol hagués estat majúscul si algú o alguns hagués fet mal ús de totes les dades dels 11.012 afiliats que van quedar al descobert durant quatre dies sense necessitat d'accedir-hi amb contrasenya. Després del, diguem-n'hi incident, que va provocar la compareixença el 6 d'agost davant la comissió legislativa de la ministra de Salut, Cristina Rodríguez i del president del consell d'administració de la CASS, Josep Delgado, la polèmica no s'ha esvaït, ens al contrari, s'ha mantingut viva pel que algú ha volgut de titllar de mentides en l'informe que la CASS va entregar a l'Agència de Protecció de Dades i a la comissió legislativa per explicar l'incident.

Tot semblava que s'havia de tancar amb la rescissió del contracte a l'empresa externa LEM, a qui es va culpabilitzar dels problemes de seguretat a la web del 6 al 9 de juliol per oblidar de canviar el comandament que deshabilitava el sistema de contrasenyes.

Aquí apareix l'altre protagonista. l'aleshores director de sistemes d'informació, Lluís Gasia. Coresponsable per a uns, cap de turc per a uns altres. La veritat és que el cap d'informàtica va ser destituït del seu càrrec –continua com a empleat– per considerar que no havia resol satisfactòriament la seva feina de revisió del portal i per falsedats en l'informe. De fet, durant la compareixença de la ministra, aquesta va explicar que «un cop per setmana, en dimecres, es validava proactivament que l'accés per a usuari i contrasenya funcionava correctament». Segons van explicar Rodríguez i Delgado, aquest va ser precissament el motiu de que no es detectés mitjançant aquesta validació la incidència, ja que va ser dimarts a les 13.30 hores quan es va rebre una trucada de Govern informant que es podia accedir a la part privada del portal sense validar la contrasenya de l'usuari, «i aquest protocol s'activa tots els dimecres», van aclarir als consellers. Això seria totalment fals. El 10 de setembre el cap d'informàtica i el cap d'àrea de Tecnologies de la Informació i Comunicació redacten un complement d'informació a petició de la directora general de la parapública, Joaquima Sol. Atenció, en el segon dels fulls (al costat a l'esquerra, punt 2), els dos responsables constaten que «el protocol de validació interna –aquell que suposadament es feia cada dimecres– fa referència a un protocol verbal que es va posar en funcionament l'any 2008 amb la posada en producció del portal». I segueix la part més sucosa, com és que la bona acceptació que va tenir el portal amb l'increment del nombre d'usuaris «aquest fet va suposar que el protocol de validació interna quedés progressivament en desús en els darrers dos anys, tot i mantenir el protocol de validació diària a partir dels usuaris». Queda clar, doncs, que des del 2010 la protecció no era la correcta, ja que la validació diària a què es fa referència era només un mer procediment rutinari per identificar problemes dels usuaris.

¿QUI ho sabia? / El quid de la qüestió és fins a quin punt era coneixedora Sol d'aquest funcionament. Segons algunes fonts de la parapública la Directora General sabia que feia dos anys no s'actuava amb la validació interna, així ho creu també Socialdemòcracia i Progrés que fa dues setmanes va acusar la parapública de depurar cap amunt i passar de puntetes sobre la Direcció General i el Consell d'Administració.

Per a més informació consulti l'edició en paper.