El partido de Errejón no incumplió la normativa de protección de datos en el hackeo con el que se desviaron fondos a Podemos
Un ex trabajador accedió al servidor de Más Madrid, modificó información personal, envió correos a los inscritos y alteró dos cuentas bancarias
La intrusión de un pirata informático, que podría ser un ex trabajador, en los sistemas informáticos de Más Madrid no fue responsabilidad del partido regional creado por Íñigo Errejón y base del proyecto nacional de Más País; al menos, no tuvo culpa en lo que se refiere al acceso a datos personales.
Es la conclusión a la que ha llegado la Agencia Española de Protección de Datos, que analizó el caso tras recibir una denuncia del propio partido.
Los hechos sucedieron a principios de abril de 2021, en plena precampaña de las elecciones autonómicas en la Comunidad de Madrid. Más Madrid aseguró que el ataque se había limitado a la plataforma de envío de correos electrónicos y a los datos de microcréditos suscritos en esa campaña.
El partido denunció lo sucedido ante la Agencia Española de Protección de Datos, y ante la Policía Nacional. Un juzgado inició la instrucción del caso y la Policía detuvo en septiembre a un hombre, un ex empleado de Más Madrid que había sido despedido un año antes. Se supo entonces que el desvío de dinero había acabado en una cuenta de Podemos, el antiguo partido de Errejón y de gran parte de los dirigentes de Más Madrid, si bien Podemos devolvió el dinero a Más Madrid.
Confidencial Digital ha consulta la resolución de archivo de actuaciones con la que la Agencia Española de Protección de Datos ha cerrado la investigación sobre este asunto.
En dicha resolución, firmada por la directora de la agencia, Mar Martí, se concluye que “no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos”.
Es por ello que no impone ninguna sanción a Más Madrid, cosa que podría haber hecho si hubiera detectado alguna negligencia por parte de la formación de Íñigo Errejón y Mónica García, en lo que se refiere a tomar medidas para proteger los datos personales que custodia el partido.
Servidor con datos del partido
La Subdirección General de Inspección de Datos, de la agencia, recibió el 9 de abril el escrito de notificación de brecha de seguridad de datos personales remitido por Más Madrid, en el que se informaba a la Agencia Española de Protección de Datos de que habían accedido al servidor donde se alojan los datos del partido, “se han alterado contenidos y enviado correos electrónicos a los inscritos solicitando el cambio de contraseña”.
El partido regional aportó además “copia de denuncia a la Policía Nacional donde manifiestan que se han alterado dos cuentas bancarias redirigiendo los ingresos de estas a otra cuenta bancaria”.
En este caso, la resolución obvia concretar con detalle qué medidas adoptó Más Madrid “con objeto de minimizar los efectos adversos” de la brecha de seguridad, así como las medidas adoptadas para su resolución final.
Se omiten los datos sobre las causas que hicieron posible la brecha, los datos afectados, las consecuencias para los afectados, el posible uso por terceros de los datos afectados, la publicación de los datos afectados, la información que Más Madrid remitió a los afectados, y las medidas de seguridad implantadas tanto con anterioridad a la brecha (y por qué no impidieron el incidente) como con posterioridad a la intrusión.
Brecha de confidencialidad
La agencia fue analizando si las actuaciones de Más Madrid se habían ajustado a lo establecido en el Reglamento General de Protección de Datos, o si alguna deficiencia había facilitado la brecha, y se había reaccionado de forma insuficiente.
La investigación partió de considerar que “Más Madrid realiza, entre otros tratamientos, la recogida, conservación y utilización de los siguientes datos personales de personas físicas, tales como: nombre, número de identificación, dirección de correo electrónico…, etc.”.
En el caso denunciado, constaba “una brecha de seguridad de datos personales [...] categorizada como una brecha de confidencialidad e integridad, al haberse producido un acceso indebido de personas u organizaciones que no están autorizadas y haberse producido una alteración del contenido original almacenado en el sistema”.
La propia agencia señala en la resolución que “la identificación de una brecha de seguridad no implica la imposición de una sanción de forma directa por esta Agencia, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas”.
Sin reclamaciones de los afectados
El análisis que la Agencia Española de Protección de Datos hizo de la documentación aportada por Más Madrid en esa investigación le llevó a concluir que “no se desprende que, con anterioridad a la brecha de seguridad, Más Madrid careciera de medidas de seguridad razonables en función de los posibles riesgos estimados”.
Tampoco encontró evidencias de que Más Madrid “no hubiera actuado de forma diligente una vez conocida la brecha de seguridad, ni que las medidas adoptadas con posterioridad al incidente aquí analizado no fueran adecuadas”.
Además, no constaban reclamaciones ante la agencia por parte de terceros, relacionadas con la presente brecha de seguridad, como podrían haber hecho los afiliados o simpatizantes de Más Madrid que vieron afectados sus datos personales.
La agencia valoró que el partido de Errejón “notificó la brecha de seguridad en el plazo establecido” en el Reglamento General de Protección de Datos, y con la información precisa, y que aportó copia de la comunicación enviada a los usuarios afectados.
Por todo ello, decidió cerrar la investigación sin imponer ninguna sanción, ni un apercibimiento, ni una multa económica a Más Madrid.
