Selecciona Edición
Selecciona Edición
Tamaño letra

Un sindicato de Mossos hackeado paga una multa e indemniza a varios agentes

El proceso penal contra los autores del ataque informático sigue a la espera de juicio

El Twitter hackeado del sindicato de Mossos d'Esquadra.
El Twitter hackeado del sindicato de Mossos d'Esquadra.

El Sindicat de Mossos d’Esquadra (SME) ha pagado una factura alta por el hackeo sufrido en 2016 que dejó al descubierto los datos personales de 5.540 agentes (nombre, DNI, teléfono, dirección y cuentas bancarias). La Agencia Española de Protección de Datos le sancionó con 22.000 euros. Además, el sindicato llegó a un acuerdo con 10 agentes que le denunciaron por la difusión de sus detalles personales, a los que indemnizó con 4.500 euros a cada uno, según fuentes conocedoras de la negociación. El SME asegura que ha reforzado la seguridad de su web.

El 18 de mayo de 2016, el Sindicat de Mossos d’Esquadra se levantó con la cuenta de la red social de Twitter y su página web hackeada. “Hemos decidido dejar de hacer la faena sucia como soldados rasos del capitalismo”, rezaba un comunicado colgado en su página corporativa, donde se hablaba de la refundación del sindicato y criticaba casos como el del Juan Andrés Benítez, Ester Quintana o Ciutat Morta. En Twitter, se repetían los mensajes a favor de los derechos humanos y en contra de la tortura.

También se difundieron links donde constaban datos personales de 5.540 mossos, como el nombre, el DNI, la dirección, el teléfono, su correo electrónico, su número de identificación policial (TIP) e incluso su cuenta bancaria. Los Mossos abrieron una investigación penal, y pusieron a disposición de los agentes afectados un teléfono donde les informaban de las medidas a tomar y donde podían avisar de cualquier anomalía que hubiesen detectado en su día a día. A la vez, al sindicato se le abrieron diversos frentes: el penal, contra quienes le hackearon, el interno, para calmar los ánimos y dar tranquilidad a sus afiliados y no afiliados afectados por la filtración, y su responsabilidad por la posible negligencia en la protección de los datos de los agentes.

Una de las primeras en reaccionar fue la Agencia Española de Protección de Datos (AEPD), que abrió una investigación para determinar si el sindicato había actuado debidamente en la protección de una base de datos tan delicada como esa, repleta de detalles personales. La agencia, que recibió diversas denuncias, concluyó que el sindicato no cumplía con todas las medidas de seguridad.

En la resolución de agosto de 2017, a la que ha tenido acceso este diario, la AEPD considera que el sindicato infringió varios artículos de la Ley de Protección de Datos. Se refiere a la carencia de un “documento de seguridad” en el tratamiento de los datos, destaca que no existía un “contrato escrito” para la gestión y el mantenimiento de su web, sino que se hacía “tácitamente” con la empresa Control Zeta. También detalla los “perjuicios ocasionados a los denunciantes”. A favor del sindicato, contempla su “diligente” reacción tras el ataque informático, desconectando inmediatamente los servidores de la red.

El SME pagó la multa de la agencia, acogiéndose a la reducción del 20% (17.600) del pago voluntario. A pesar de eso, no hubo un reconocimiento de la responsabilidad (por lo que podría haberse beneficiado de un descuento mayor) y denunció la sanción de la Agencia Española de Protección de Datos por la vía judicial. En marzo de este año, la Audiencia Nacional desestimó el recurso interpuesto por el sindicato al considerar que el pago voluntario implicaba la renuncia a cualquier recurso por la vía civil.

Al pago de esta sanción se suma el acuerdo al que llegó el SME con varios agentes que denunciaron al sindicato por la difusión de sus datos personales. Cuatro días antes del juicio que debía celebrar el juzgado de primera instancia número 57 de Barcelona, previsto para octubre de 2018, la organización llegó a un acuerdo: indemnizó con 45.000 euros a 10 agentes (4.500 a cada uno), según fuentes conocedoras del mismo.

El SME, que ha declinado dar detalles de los procesos abiertos al ser una materia que manejan y conocen a fondo sus abogados, asegura que han reforzado la seguridad de su web. A pesar de eso, el sindicato considera que no existe el riesgo cero y que todos los organismos están expuestos a este tipo de ataques informáticos

La causa penal contra los presuntos autores del hackeo sigue a la espera de juicio. Tres personas fueron detenidas, y puestas posteriormente en libertad, acusadas de un delito de descubrimiento y revelación de secretos. Todos los sindicatos de Mossos, además de grupos de agentes de forma particular, están personados en la causa como acusación particular.

Se adhiere a los criterios de The Trust Project Más información >