Imagen de un título de transporte de la T-Mobilitat, el sistema de abonos 'contactless'. SocMobilitat / CG

Imagen de un título de transporte de la T-Mobilitat, el sistema de abonos 'contactless'. SocMobilitat / CG

Política

La mayor filtración de datos de la T-Mobilitat se cierra con una regañina

La Autoridad Catalana de Protección de Datos, que abrió un expediente tras la brecha detectada, afirma que las normas no contemplan sanción económica para las instituciones públicas

27 enero, 2022 00:00

La gran brecha de seguridad de la T-Mobilitat se saldará, a lo sumo, con una amonestación. Así lo explica la Autoridad Catalana de Protección de Datos (APDCAT) en un escrito al que ha tenido acceso Crónica Global, en el que asegura que las normas solo contemplan esa “regañina”, así como medidas de corrección, cuando la infracción corresponde a ficheros de titularidad pública.

Los hechos se remontan al 5 de octubre de 2021, cuando un experto en software destapó en Twitter graves agujeros en la seguridad de la web de T-Mobilitat. Aseguró haber accedido a datos personales de 2.000 usuarios del sistema durante un período de tiempo. El fallo fue admitido por la Autoridad del Transporte Metropolitano (ATM), que anunció la apertura de un expediente informativo a la empresa responsable de la web, que quedó cerrada de forma temporal a la espera de realizar un análisis exhaustivo.

Otros fallos en la gestión

A esta brecha de seguridad se unen otros fallos en la gestión del título de transporte, que acumulaba seis años de retraso --el sistema contactless tenía que arrancar en 2014-- y sobrecostes de 37 millones de euros.

Por todo ello, el diputado de PSC-Units Jordi Terrades presentó una moción en el Parlament, aprobada en la Cámara catalana, en la que se instaba al Govern a hacer una auditoría independiente del proyecto. En paralelo, el socialista presentó una batería de preguntas. En su respuesta, la APDCAT explica que tuvo conocimiento de la “violación de seguridad sufrida en la web Portal T-Mobilitat.atm.cat por el mismo responsable de su tratamiento, la ATM y también por las denuncias interpuestas por diversos particulares”.

Dos cuestiones relevantes

A raíz de estas denuncias, este organismo abrió un período de información previa con la finalidad de averiguar las circunstancias de los hechos. Pero advierte de que, una vez finalizadas las actuaciones de investigación, si se considera procedente se iniciará un expediente sancionador. Si éste finalizara en sanción, "hay que tener en cuenta dos cuestiones relevantes".

Por un lado, que la ATM es un consorcio interadministrativo, integrado por la Generalitat (51%) y administraciones locales (49%). Se trata, por tanto, de una entidad de derecho público dependiente de las Administraciones públicas. La segunda es que el artículo 77.2 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales establece que, en caso de infracciones cometidas por entidades de derecho público, la autoridad de protección de datos competente “debe dictar una resolución que las sancione con una amonestación. La resolución debe establecer así las medidas que sea necesario adoptar para que cese la conducta o se corrijan los efectos de la infracción cometida”.

Corregir los efectos

Asimismo, el artículo 21.2 de la ley 32/2010 de la APDCAT determina que, “en caso de infracciones cometidas en relación a ficheros de titularidad pública, el director o directora de la Autoridad Catalana de Protección de Datos debe dictar una resolución que declare la infracción y establezca las medidas a adoptar para corregir los efectos”.

Concluye este organismo catalán que, “en el caso de que la ATM pueda ser sancionada por la violación de seguridad sufrida en su portal, el marco jurídico de aplicación no ha contemplado, tratándose de un consorcio integrado por Administraciones públicas, que esta sanción pueda ser económica, sino que debe consistir en una amonestación. Adicionalmente se puede acordar la imposición de medidas correctoras para corregir los efectos de la infracción cometida”.

Ernesto Abelló, presidente de la Asociación Profesional de Consultores en Protección de Datos (APCPD), explica a este medio que, “efectivamente, el reglamento general de protección de datos permite optar por sancionar económicamente o no a las Administraciones públicas. En España se optó por no hacerlo”. Según Abelló, en “las comunidades autónomas con agencia propia como Cataluña, País Vasco o Andalucía solo se puede apercibir y comunicar al defensor del pueblo o similar”. Lo que ocurrirá con la filtración de datos de la T-Mobilitat.