Sanción a un sindicato de Mossos por el hackeo de su página web tras recibir las denuncias de los agentes

denuncias-mossos-conversiaLa Agencia Española de Protección de Datos ha sancionado al Sindicat de Mossos d’Esquadra (SME) por haber sufrido un hackeo en 2016 y haber dejado al descubierto los datos personales de 5.540 agentes. En este post de Conversia te explicamos a cuánto ascienden las indemnizaciones para los agentes que presentaron las denuncias, así como el coste total de la sanción.

Denuncias por parte de los agentes al sindicato

El 18 de mayo de 2016, el Sindicat de Mossos d’Esquadra sufrió un hackeo en su cuenta de Twitter y en su página web. Un comunicado, colgado en el sitio corporativo por los ciberdelincuentes, decía “hemos decidido dejar de hacer la faena sucia como soldados rasos del capitalismo”. Asimismo, se hablaba sobre la refundación del sindicato y criticaba casos como el del Juan Andrés Benítez, Ester Quintana o Ciutat Morta. También en su perfil de Twitter, se publicaron mensajes a favor de los derechos humanos y en contra de la tortura.

Además, se difundieron enlaces donde constaban los datos personales de 5.540 agentes, entre los que figuraban datos como el nombre, el DNI, la dirección, el teléfono, su correo electrónico, su número de identificación policial (TIP) e, incluso, su número de cuenta bancaria. Los Mossos abrieron una investigación penal y pusieron a disposición de los afectados un teléfono donde podían informarse sobre las medidas a tomar, así como avisar de cualquier anomalía que ocurriera en su día a día relacionada con el asunto.

A la vez, el sindicato abrió un proceso penal contra los responsables del hackeo y se empezó a estudiar su responsabilidad por la posible negligencia en la protección de los datos de los agentes. En este sentido, la Agencia Española de Protección de Datos (AEPD) abrió una investigación para determinar si el sindicato había actuado debidamente en la protección de una base de datos tan delicada como esa, repleta de detalles personales. La Agencia, que recibió varias denuncias de los agentes, concluyó que el sindicato no había cumplido con todas las medidas de seguridad requeridas.

El sindicato denuncia la sanción de la AEPD por la vía judicial

En su resolución de agosto de 2017, la AEPD considera que el sindicato infringió varios artículos de la Ley de Protección de Datos, ya que carecía de un “documento de seguridad” en el tratamiento de los datos, y destaca que no existía un “contrato escrito” para la gestión y el mantenimiento de su web, sino que se hacía “tácitamente” con la empresa Control Zeta. La resolución también detalla los “perjuicios ocasionados a los denunciantes”. Sin embargo, la AEPD consideró que la reacción del sindicato fue “diligente” tras el ataque informático, desconectando inmediatamente los servidores de la red. Por todo ello, la Agencia sancionó al SME con 22.000 euros.

El sindicato pagó la multa de la Agencia de forma voluntaria, de manera que obtuvo la reducción del 20% (17.600). A pesar de eso, el SME no reconoció su responsabilidad (por lo que podría haberse beneficiado de un descuento mayor) y denunció la sanción de la AEPD por la vía judicial. A principios de este año, la Audiencia Nacional desestimó el recurso interpuesto por el sindicato al considerar que el pago voluntario implicaba la renuncia a cualquier recurso por la vía civil.

Indemnizaciones por 10 agentes

Además de la sanción, el sindicato también tuvo que indemnizar a varios agentes que habían presentado denuncias contra la organización por la difusión de sus datos personales. Cuatro días antes de la fecha en que se había fijado el juicio (octubre de 2018), la organización llegó a un acuerdo: el SME debía pagar 45.000 euros a 10 agentes (4.500 a cada uno).

Tras los hechos, el sindicato asegura que ha reforzado la seguridad de su página web, a pesar de considerar que no existe el riesgo cero y que todos los organismos están expuestos a este tipo de ataques. La causa penal contra los presuntos autores del delito sigue a la espera de juicio, tras la detención de tres personas, puestas posteriormente en libertad, acusadas de un delito de descubrimiento y revelación de secretos. Todos los sindicatos de Mossos, además de grupos de agentes de forma particular, están personados en la causa como acusación particular.

 

Descubre más noticias sobre denuncias en materia de protección de datos en este blog de Conversia.