En el año 2019 la Empresa Municipal de Transportes de Valencia sufrió una estafa que implicó una pérdida de cuatro millones de euros para la entidad pública, el despido de la administradora y una posible vulneración del artículo 32 del RGPD. Por eso, la AEPD ha iniciado un procedimiento sancionador al considerar que hay indicios de que se ha vulnerado la necesaria protección de datos.
Si al final se determina que la entidad es responsable de incumplir la normativa, la sanción puede llegar a ser millonaria. ¿Quieres saber qué ha pasado? Vamos a verlo con más detalle.
La estafa a la EMT
Debes saber que en septiembre de 2019 un grupo de ciberestafadores vulneró la seguridad del sistema informático de la EMT para conocer mejor el funcionamiento de su sistema de pagos y poder diseñar una estafa.
Poco después contactaron con la administradora y, mediante engaños, consiguieron que esta les abonara diferentes facturas. El monto total pagado superó los cuatro millones de euros en apenas 20 días.
Además, la víctima remitió a los estafadores los DNI de algunos de sus superiores directos e, incluso, el suyo. Esto permitió a los delincuentes falsificar las firmas de los responsables y acceder de forma más fácil al dinero.
Los hechos están siendo objeto de investigación en el ámbito penal, pero, además, la AEPD está analizando si se ha producido alguna vulneración del RGPD.
¿Por qué ha abierto la AEPD un proceso sancionador?
Los datos personales fueron enviados directamente por correo desde la cuenta de la directiva al email facilitado por los estafadores. La Agencia Española de Protección de Datos considera que esto puede ser una infracción del artículo 32 del RGPD y ha abierto un proceso sancionador.
Para hacerlo se basa en que la empresa no aplicó las medidas técnicas y organizativas que son necesarias para garantizar la seguridad de los datos personales como, por ejemplo, un cifrado de la información. Además, considera que esto es especialmente grave teniendo en cuenta que se trata de una entidad de carácter público. Por otro lado, destaca que la Empresa Municipal de Transportes no ha presentado el preceptivo análisis de riesgos en el tratamiento de los datos de los que es responsable.
Alegaciones de la EMT sobre su seguridad
La entidad procesada se ha defendido alegando indefensión, puesto que la Agencia ya abrió un procedimiento sancionador por este tema y lo cerró en junio de 2020 al entender que no se había producido violación alguna en materia de protección de datos durante la estafa.
Señala la EMT que ahora se ha reabierto el proceso sin que se le haya notificado, lo que considera que vulnera su derecho a la defensa. Por otro lado, la entidad ha querido recalcar que tiene implementadas todas las medidas técnicas y organizativas que son necesarias para cumplir con las disposiciones de la normativa sobre protección y que ha aportado la información relativa a ellas a la Agencia Española de Protección de Datos.
Lo que solicita la Empresa Municipal es que se anule el procedimiento y se proceda al archivo de las actuaciones.
Un largo camino por recorrer en la protección de datos
La estafa a la EMT valenciana tiene una trama especialmente complicada que, a día de hoy, está siendo objeto de investigación. Todavía tardaremos unos meses más en saber qué es lo que realmente ocurrió y quiénes son los culpables.
Mientras el proceso penal sigue su curso, la AEPD está cumpliendo con sus funciones y averiguando si realmente se produjo una vulneración de la normativa. Si quieres saber cómo acaba todo esto, tendrás que esperar un poco para ver cuál es su decisión final y cuál es la cuantía de la multa, si es que considera que se ha incurrido en una infracción.
