La resolución se enmarca en la estafa de cuatro millones de euros que sufrió la entidad en septiembre de 2019

Fuente: Europa Press

La Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento sancionador a la Empresa Municipal de Transportes (EMT) de Valencia al considerar que hay evidencias de que las medidas de seguridad, tanto de índole técnica como organizativas, de la entidad en relación con los datos que sometía a tratamiento, «no eran las adecuadas», tras la superación por terceras personas de las políticas de seguridad implantadas en el momento en el que se cometió la estafa.

 

Así consta en una resolución, a la que ha tenido acceso Europa Press, que se enmarca en la estafa de cuatro millones de euros que sufrió la entidad en septiembre de 2019, un hecho que se investiga por vía penal y por el que fue despedida la directiva de Administración Celia Zafra, un despido ratificado por el Tribunal Superior de Justicia de la Comunitat Valenciana.

 

El procedimiento se remonta a octubre de 2019, cuando el PP en el Ayuntamiento de Valencia interpuso una reclamación ante la Agencia por presunta vulneración del artículo 32 del Reglamento General de Protección de Datos, al considerar que había habido una «brecha de seguridad». En junio de 2020 se acordó el archivo, contra el que recurrió el grupo 'popular', que amplió el recurso en febrero de este año. La AEPD admitió la reclamación e inició actuaciones previas de investigación que han derivado en esta decisión.

 

«Vulnerabilidades graves»

Para la AEPD, en este caso, y a la vista de la documentación que ha analizado, se acreditan «vulnerabilidades graves» de los sistemas del reclamado, que desembocó en una transmisión ilícita de datos --dos DNI-- y quedó «comprometida» la confidencialidad e integridad de la seguridad de la información, una seguridad y confidencialidad de los datos personales que son «esenciales» para evitar que los interesados sufran efectos negativos.

 

Para la AEPD, el acceso no autorizado a estos datos resultó «determinante» para las actuaciones posteriores desarrolladas por las personas suplantadoras que cometieron la estafa. Por ello, considera que la EMT podría haber incurrido en una presunta vulneración del artículo 32 del RGPD, al no utilizar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, al no haber garantizado un procesamiento de estos apropiado a los riesgos derivados de su tratamiento (cifrado o pseudonimización, por ejemplo).