La Agencia de Protección de Datos en su investigación detectó fallos de seguridad por falta protocolos en la EMT y que propició el robo de los 4 millones de euros por el método del “phishing” de las cuentas de la EMT en 8 transferencias a un banco de Hong Kong.
En la propuesta de resolución de la Agencia se dirija un apercibimiento a la EMT por una infracción grave por La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
El PP ha tenido acceso a las conclusiones de la investigación de Protección de Datos y en el expediente sancionador califica de infracción grave la falta de protocolos y medidas de seguridad en la EMT, y que de estar implantados hubieran impedido que se consumaran los efectos del ataque tipo “phishing”.
La agencia es muy clara y dice que de haber tenido medidas y protocolos de seguridad la EMT e hubiera evitado el robo de 4 millones de euros. “Sí se infiere culpa suficiente en la falta de implantación de medidas adecuadas, especialmente de tipo organizativo y formativo del personal, que hubieran impedido que se consumaran los efectos del ataque tipo phishing”
Según recoge la investigación de la Agencia: “Las investigaciones previas se ha constatado que las medidas de seguridad que tenía implantadas la entidad investigada en relación con los datos que sometía a tratamiento en calidad de responsable, no eran las adecuadas al momento de producirse la incidencia”.
Y añade que “con la consecuencia del acceso por terceros ajenos a datos personales de empleados de la entidad investigada, siendo responsable de la falta de formación de su personal, lo que ha provocado la aceptación por un empleado del ataque phishing y de sus consecuencias”.
Y rechaza la agencia las alegaciones “significándose que las alegaciones presentadas no desvirtúan el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficiente. En consecuencia, las alegaciones deben ser desestimadas”.
El concejal del Grupo Popular, Carlos Mundina, ha advertido que la investigación de la Agencia de Protección de Datos evidencia la falta de control existente en el EMT, sin protocolos ni medidas de seguridad que “hubiera evitado el robo de los cuatro millones de euros de las cuentas de la EMT”.
Mundina señala que un nuevo informe, esta vez de la Agencia de Protección de Datos, señala a la falta de controles como la causa para que la estafa de los 4 millones de euros pudiera darse. “Lo han dicho todas las auditorías realizadas en la EMT tanto de Sindicatura como del propio Ayuntamiento y de momento nadie ha asumido responsabilidades por el robo de los 4 millones de euros”, explicó Mundina.
Mundina, ha vuelto a reclamar que se aparte al concejal Grezzi de la EMT pues su gestión sigue haciendo aguas y las conclusiones de la investigación de la Agencia de Protección de Datos es clara y apunta como responsables de la estafa a quienes debían haber velado por las medidas y protocolos de segruidad.
Desde el PP se recuerda la situación de la EMT, “desde que gobierna Ribó y PSOE han sufrido un incendio de 26 autobuses, un robo de 4 millones de euros, una multa de Hacienda de 10,4 millones de euros, sanciones de la Inspección de Trabajo… Estos son motivos más que suficientes para que la compañía pase a ser dirigida por profesionales y no por la colla de amics de Grezzi”.
Un error de la propia Agencia de Protección de Datos ha impedido que se sanciones a la EMT con multas que podrían llegar a los 10 millones de euros en caso de haber sido una empresa privada por los fallos de seguridad.