Hace unos días el Ayuntamiento de Sevilla sufrió un ciberataque por parte de unos hackers holandeses. Esto afectó a los servicios porque secuestraron los sistemas informáticos que permitían cosas tan básicas como pedir cita previa o pagar los impuestos. Y aunque los delincuentes han llegado a pedir un rescate de 5 millones de euros, desde el consistorio han informado que no tienen intención de pagar.
Pero, ¿qué pasa con los datos personales de los ciudadanos? El propio Ayuntamiento de Sevilla manifestó que no había ninguna evidencia de que se viesen afectados, pero lo cierto es que si esto ocurriera, las informaciones obtenidas por los piratas informáticos podrían acabar en la dark web, el internet más profundo.
Sin embargo, para Borja Adsuara, abogado experto en derecho digital, privacidad y protección de datos, aunque el ayuntamiento cree que no se han visto afectados esos datos, lo cierto es que allí es lo que más hay.
Cree que el problema es que “no se invierte en seguridad” y que, además, a las Administraciones Públicas la Agencia Española de Protección de Datos (AEPD) no les puede multar. Simplemente se les imponen unos apercibimientos que “no sirven para nada”.
Aunque, para él, “ni siquiera es un apercibimiento porque apercibir significa que van a actuar a la siguiente·», pero eso no ocurre. Consiste en decir que lo están haciendo mal y que lo corrijan.
«Se deberían imponer las mismas multas que a las pymes»
Es más, la propia AEPD ha confesado en una circular que “no se debe considerar el apercibimiento como una sanción. Es una medida adecuada, de naturaleza no sancionadora, incluida dentro de los poderes correctivos de las autoridades de control”.
De modo que lo que viene defendiendo Adsuara desde hace mucho es que “se le imponga a la administración, como un deber de ejemplaridad, las mismas multas que a las pymes”. Por lo que es partidario de que sean cantidades grandes para que se lo tomen en serio porque no están invirtiendo en seguridad ya que ni siquiera se da formación a los funcionarios.
Haciendo un balance sobre las sanciones impuestas por la AEPD a empresas privadas, hay que recalcar que en 2022 se impusieron 283 por un importe de 23 millones de euros. Y desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) suman un total de 55 millones de euros, según un dossier publicado por Laley.
Casos concretos en las que la AEPD impuso un apercibimiento a la administración
El Servicio de Empleo Público (SEPE) filtró más de 700 correos electrónicos al no poner el “modo oculto” antes de enviarlo. Tuvieron una brecha de seguridad y, según alegaron, se debió a “un error fatal” que coincidió con la intención de dejar el trabajo hecho antes de las vacaciones de verano.
La Dirección General de la Guardia Civil envió un correo electrónico con los datos de salud de uno de los agentes por lo que compañeros suyos del mismo puesto pudieron enterarse de lo que le pasaba porque tenían acceso al email corporativo. Por estos mismos hechos también fueron apercibidos en 2020.
El Ayuntamiento de Santiago de Compostela envió a una ciudadana una carta no certificada en la que se podían ver todos sus datos. Estaba doblada de tal manera que las personas por las que había pasado la misiva habían podido ver su DNI, nombre, apellidos, domicilio, matrícula de su coche, marca y modelo de vehículo al ser denunciada por exceso de velocidad.
El Ayuntamiento de Molina de Segura, Murcia, no buscó un sustituto al Delegado de Protección de Datos que se jubiló en noviembre de 2019, por lo que le dieron un plazo de un mes para sustituirlo.
