Un sindicato de Mossos hackeado paga una multa e indemniza a varios agentes

El Sindicat de Mossos d¡¯Esquadra (SME) ha pagado una factura alta por el hackeo sufrido en 2016 que dej¨® al descubierto los datos personales de 5.540 agentes (nombre, DNI, tel¨¦fono, direcci¨®n y cuentas bancarias). La Agencia Espa?ola de Protecci¨®n de Datos le sancion¨® con 22.000 euros. Adem¨¢s, el sindicato lleg¨® a un acuerdo con 10 agentes que le denunciaron por la difusi¨®n de sus detalles personales, a los que indemniz¨® con 4.500 euros a cada uno, seg¨²n fuentes conocedoras de la negociaci¨®n. El SME asegura que ha reforzado la seguridad de su web.

El 18 de mayo de 2016, el Sindicat de Mossos d¡¯Esquadra se levant¨® con la cuenta de la red social de Twitter y su p¨¢gina web hackeada. ¡°Hemos decidido dejar de hacer la faena sucia como soldados rasos del capitalismo¡±, rezaba un comunicado colgado en su p¨¢gina corporativa, donde se hablaba de la refundaci¨®n del sindicato y criticaba casos como el del Juan Andr¨¦s Ben¨ªtez, Ester Quintana o Ciutat Morta. En Twitter, se repet¨ªan los mensajes a favor de los derechos humanos y en contra de la tortura.

Tambi¨¦n se difundieron links donde constaban datos personales de 5.540 mossos, como el nombre, el DNI, la direcci¨®n, el tel¨¦fono, su correo electr¨®nico, su n¨²mero de identificaci¨®n policial (TIP) e incluso su cuenta bancaria. Los Mossos abrieron una investigaci¨®n penal, y pusieron a disposici¨®n de los agentes afectados un tel¨¦fono donde les informaban de las medidas a tomar y donde pod¨ªan avisar de cualquier anomal¨ªa que hubiesen detectado en su d¨ªa a d¨ªa. A la vez, al sindicato se le abrieron diversos frentes: el penal, contra quienes le hackearon, el interno, para calmar los ¨¢nimos y dar tranquilidad a sus afiliados y no afiliados afectados por la filtraci¨®n, y su responsabilidad por la posible negligencia en la protecci¨®n de los datos de los agentes.

Una de las primeras en reaccionar fue la Agencia Espa?ola de Protecci¨®n de Datos (AEPD), que abri¨® una investigaci¨®n para determinar si el sindicato hab¨ªa actuado debidamente en la protecci¨®n de una base de datos tan delicada como esa, repleta de detalles personales. La agencia, que recibi¨® diversas denuncias, concluy¨® que el sindicato no cumpl¨ªa con todas las medidas de seguridad.

En la resoluci¨®n de agosto de 2017, a la que ha tenido acceso este diario, la AEPD considera que el sindicato infringi¨® varios art¨ªculos de la Ley de Protecci¨®n de Datos. Se refiere a la carencia de un ¡°documento de seguridad¡± en el tratamiento de los datos, destaca que no exist¨ªa un ¡°contrato escrito¡± para la gesti¨®n y el mantenimiento de su web, sino que se hac¨ªa ¡°t¨¢citamente¡± con la empresa Control Zeta. Tambi¨¦n detalla los ¡°perjuicios ocasionados a los denunciantes¡±. A favor del sindicato, contempla su ¡°diligente¡± reacci¨®n tras el ataque inform¨¢tico, desconectando inmediatamente los servidores de la red.

El SME pag¨® la multa de la agencia, acogi¨¦ndose a la reducci¨®n del 20% (17.600) del pago voluntario. A pesar de eso, no hubo un reconocimiento de la responsabilidad (por lo que podr¨ªa haberse beneficiado de un descuento mayor) y denunci¨® la sanci¨®n de la Agencia Espa?ola de Protecci¨®n de Datos por la v¨ªa judicial. En marzo de este a?o, la Audiencia Nacional desestim¨® el recurso interpuesto por el sindicato al considerar que el pago voluntario implicaba la renuncia a cualquier recurso por la v¨ªa civil.

Al pago de esta sanci¨®n se suma el acuerdo al que lleg¨® el SME con varios agentes que denunciaron al sindicato por la difusi¨®n de sus datos personales. Cuatro d¨ªas antes del juicio que deb¨ªa celebrar el juzgado de primera instancia n¨²mero 57 de Barcelona, previsto para octubre de 2018, la organizaci¨®n lleg¨® a un acuerdo: indemniz¨® con 45.000 euros a 10 agentes (4.500 a cada uno), seg¨²n fuentes conocedoras del mismo.

El SME, que ha declinado dar detalles de los procesos abiertos al ser una materia que manejan y conocen a fondo sus abogados, asegura que han reforzado la seguridad de su web. A pesar de eso, el sindicato considera que no existe el riesgo cero y que todos los organismos est¨¢n expuestos a este tipo de ataques inform¨¢ticos

La causa penal contra los presuntos autores del hackeo sigue a la espera de juicio. Tres personas fueron detenidas, y puestas posteriormente en libertad, acusadas de un delito de descubrimiento y revelaci¨®n de secretos. Todos los sindicatos de Mossos, adem¨¢s de grupos de agentes de forma particular, est¨¢n personados en la causa como acusaci¨®n particular.