Suscríbete

Contenido exclusivo para suscriptores digitales

València

Protección de Datos estudia multar a la EMT por la falta de seguridad durante la estafa

Autobuses de la EMT en una parada del centro histórico.

La Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento sancionador a la Empresa Municipal de Transportes (EMT) de València al considerar que hay evidencias de que las medidas de seguridad, tanto de índole técnica como organizativas, de la entidad en relación con los datos que sometía a tratamiento, "no eran las adecuadas", tras la superación por terceras personas de las políticas de seguridad implantadas en el momento en el que se cometió la estafa.

Así consta en una resolución, a la que ha tenido acceso Europa Press, que se enmarca en la estafa de cuatro millones de euros que sufrió la entidad en septiembre de 2019, un hecho que se investiga por vía penal y por el que fue despedida la directiva de Administración Celia Zafra, un despido ratificado por el Tribunal Superior de Justicia de la Comunitat Valenciana.

El procedimiento se remonta a octubre de 2019, cuando el PP en el Ayuntamiento de València interpuso una reclamación ante la Agencia por presunta vulneración del artículo 32 del Reglamento General de Protección de Datos, al considerar que había habido una "brecha de seguridad". En junio de 2020 se acordó el archivo, contra el que recurrió el grupo 'popular', que amplió el recurso en febrero de este año. La AEPD admitió la reclamación e inició actuaciones previas de investigación que han derivado en esta decisión.

Para la AEPD, en este caso, y a la vista de la documentación que ha analizado, se acreditan "vulnerabilidades graves" de los sistemas del reclamado, que desembocó en una transmisión ilícita de datos --dos DNI-- y quedó "comprometida" la confidencialidad e integridad de la seguridad de la información, una seguridad y confidencialidad de los datos personales que son "esenciales" para evitar que los interesados sufran efectos negativos.

Para la AEPD, el acceso no autorizado a estos datos resultó "determinante" para las actuaciones posteriores desarrolladas por las personas suplantadoras que cometieron la estafa. Por ello, considera que la EMT podría haber incurrido en una presunta vulneración del artículo 32 del RGPD, al no utilizar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, al no haber garantizado un procesamiento de estos apropiado a los riesgos derivados de su tratamiento (cifrado o pseudonimización, por ejemplo).

Y señala que esa ausencia de medidas de seguridad adecuadas en función del riesgo y relacionada con la actividad pública de la entidad investigada, agrava ese reproche en la conducta. La AEPD subraya que es el responsable del tratamiento "el que tiene la obligación de integrar las garantías necesarias" para hacerlo.

En este caso, afirma que la entidad investigada no ha aportado el análisis de riesgo de los tratamientos de los que es responsable, "lo que impide evaluar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, careciendo de la capacidad de garantizar la integridad permanente de los sistemas y servicios de tratamiento, lo que ha provocado el acceso por terceros no autorizados a los datos alojados en sus sistemas de información".

Alegaciones de EMT

La EMT, que tenía diez días de plazo para presentar alegaciones, argumenta que la transmisión de datos no se produjo por una vulneración de los sistemas de la empresa, sino que el fraude "fue posible por una actuación de la exdirectora de Administración" y refuerza su versión con la sentencia del TSJCV que confirmó el despido disciplinario de Zafra "por haber facilitado tales datos confidenciales", lo que fue considerado como una "grave negligencia de la actora en el cumplimiento de sus obligaciones laborales"..

La exdirectora de Administración fue despedida por "incumplir su deber de confidencialidad y custodia de la documentación de la empresa" después de haber remitido a los presuntos estafadores documentos con las firmas del director gerente y la directora de Gestión --solo se podían realizar pagos con la firma mancomunada de estos dos, recuerda--, unos documentos que facilitaron la falsificación de sus firmas para llevar a cabo el fraude.

En sus alegaciones, la empresa municipal también denuncia "indefensión" ante la AEPD por haber reabierto sin habérselo notificado un expediente que se archivó en junio de 2020. En aquel momento, la AEPD determinó, tal y como defiende EMT, que no se había producido ninguna violación en la protección de datos durante el fraude y rechazó la denuncia presentada por el PP. Ahora, sin embargo, ha reabierto el mismo expediente sin notificárselo.

En este sentido, EMT alega una vulneración del derecho de defensa en el procedimiento puesto que "la Administración está obligada a dictar resolución expresa y a notificarla en todos los procedimientos cualquiera que sea su forma de iniciación".

EMT también recuerda que, en su condición de responsable del tratamiento, tiene implementadas las medidas técnicas y organizativas que garantizan el cumplimiento de la normativa en materia de protección de datos, que ya aportó a la AEPD. Por todos estos motivos, la entidad solicita la anulación del procedimiento y el archivo de las actuaciones.

Compartir el artículo

stats