Protección de Datos apercibe a Vox por un robo de datos de sus afiliados que perpetró por Anonymous
La agencia reprocha al partido “falta de diligencia” al incorporar medidas de seguridad en los ordenadores que entregaba a sus dirigentes
Vox ha recibido un toque de atención por parte de la Agencia Española de Protección de Datos, a cuenta de un hackeo obra de Anonymous que supuso el robo de información personal de afiliados del partido en Cataluña.
El partido que lidera Santiago Abascal ha sufrido varias ataques informáticos de esa red de hackers. Confidencial Digital ha podido consultar una resolución de Protección de Datos sobre la brecha de seguridad que Vox comunicó hace un año.
Aviso del INCIBE
Todo comenzó en septiembre de 2019. Ese día, el Instituto Nacional de Ciberseguridad (INCIBE, dependiente del Ministerio de Asuntos Económicos y Transformación Digital) comunicó a Vox que “ciberdelincuentes” habían acceso a datos de afiliados del partido y los habían publicado en el perfil de Anonymus Catalonia (@anonktalonia).
La noticia se había conocido en un medio digital. Vox denunció los hechos ante el Grupo de Delitos Telemáticos de la Guardia Civil, y comunicación que “tras haber efectuado investigaciones, la información que figura publicada corresponde a un incidente anterior ya notificado a la Agencia Española de Protección de Datos en fecha 13/12/2018, relativo a la publicación de un enlace en el que figuran suscriptores de noticias de VOX en su Web”.
Días después, el 25 de septiembre de 2019, Vox comunicó a la Agencia Española de Protección de Datos una segunda brecha de seguridad. Y es que en ese perfil de Anonymous Catalonia no sólo se difundían datos de un ataque de 2019 ya denunciado.
También ofrecía enlace a un documento en formato Excel con datos de afiliados al partido en Sabadell (Barcelona): “En esta segunda notificación (de fecha 25/09/2019), Vox ha aportado escrito remitido a los afiliados afectados donde se les comunica que uno de los dirigentes de Cataluña (Sabadell) ha sufrido un ataque en el equipo informático que le fue asignado que ha permitido el acceso a un fichero temporal con datos de afiliados de la localidad de Sabadell”.
La información de ese fichero de afiliados fue publicada en una dirección web vinculada a Anonymous.
“El 22 de septiembre”, se indica en la resolución de Protección de Datos, “el dirigente de Vox en Barcelona interpuso una denuncia ante la Guardia Civil que procedió a bloquear todos los enlaces a la web de Vox. A este respecto Voxha aportado denuncia ante el Grupo de Delitos Telemáticos de la Guardia Civil de fecha 22 de septiembre de 2019”.
Es decir, que tras recibir el aviso del INCIBE sobre un ciberataque antiguo ya investigado por Protección de Datos, Vox detectó un segundo robo de datos, ahora llevado a cabo a través del ordenador que utilizaba un dirigente del partido en Barcelona.
Vox aportó un escrito ante la agencia en el que justificaba que había avisado a todos los afiliados afectados por el robo de datos. Les advirtió de la filtración y de que información personal suya se había publicado en una dirección de Internet vinculada a Anonymous.
Medidas de seguridad inadecuadas
A raíz de este incidente, la Agencia Española de Protección de Datos puso en marcha una investigación para averiguar si Vox había llevado a cabo todas las actuaciones que, según el Reglamento europeo de Protección de Datos, debe realizar una organización de ese tipo para blindar la información personal de sus miembros.
La conclusión de la Agencia Española de Protección de Datos es que “de las actuaciones practicadas, se ha verificado que las medidas de seguridad con las que contaba la entidad investigada en relación con los datos que sometía a tratamiento en calidad de responsable, no eran las adecuadas al momento de producirse la quiebra de seguridad de datos personales, con la consecuencia de la exposición pública en internet de los datos personales de afiliados de la localidad de Sabadell”.
La resolución carga contra Vox, al señalar que “los afectados afiliados a Vox de esa localidad se han visto desprovistos del control sobre sus datos personales haciéndose público un determinado posicionamiento o ideología política cuya revelación pública no tiene por qué haber sido consentida por su titular”.
Protección de Datos subraya que, al manejar información con categoría especial como es la afiliación a un partido políticos, aumenta la exigencia a Vox del grado de protección en relación con la seguridad y salvaguarda de la confidencialidad de estos datos.
El riesgo de que sean difundidos estos datos “debe ser tenido en cuenta por el responsable del tratamiento y en función del mismo establecer las medidas que hubieran impedido la pérdida de control de los datos por parte del responsable del tratamiento y, por tanto, por parte de los titulares de los datos que los proporcionaron a éste”.
El reproche que le hace la agencia al partido de Santiago Abascal es que “de las actuaciones practicadas se desprende que Vox, a la fecha de notificación de la brecha de seguridad, no disponía de las medidas de seguridad adecuadas en sus sistemas de información de acuerdo con lo dispuesto en el artículo 32 del RGPD, en relación con el artículo 28 de la LOPDGDD”.
Según la resolución, “esta falta de diligencia a la hora de implementar las medidas de seguridad adecuadas en los ordenadores de Vox que asignaba a sus dirigentes constituyen el elemento de la culpabilidad que requiere la imposición de sanción”.
Además, “la ausencia de consideración del riesgo que puede suponer el acceso no autorizado por terceros a datos de afiliados relacionados con un partido político y su posterior difusión pública agrava el reproche culpabilístico y sancionador de la conducta llevada a cabo por Vox”.
Una infracción grave y otra muy grave
La Agencia Española de Protección de Datos concluye que Vox infringió el artículo 32.1, b) del reglamento, que obliga a los responsables de protección de datos a aplicar “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, para alcanzar “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.
Como Vox no puso todos los medios para garantizar la integridad y confidencialidad de los datos de sus afiliados en este caso, se le considera autor de una infracción grave del Reglamento Europeo de Protección de Datos, y de otra infracción muy grave.
Sin embargo, estas infracciones no tienen consecuencias económicas para el partido político: “En el presente caso, en atención a la diligencia llevada a cabo por Vox en lo referente a la notificación sin dilación indebida de la brecha de seguridad a esta AEPD, así como la comunicación a los interesados y el inicio de acciones tendentes a minimizar las consecuencias negativas de la citada quiebra de seguridad, se considera conforme a derecho no imponer sanción consistente en multa administrativa y sustituirla por la sanción de apercibimiento”.
Esa sanción de apercibimiento va acompañada de un requerimiento a Vox para que “implante en el sistema de información del que es responsable las medidas adecuadas que eviten en el futuro la repetición de hechos similares al analizado en el presente procedimiento y comunique a esta Agencia dichas medidas en el plazo de tres meses”.
Por cierto, cabe apuntar que el líder de Vox, Santiago Abascal, llegó a ser director de la Agencia de Protección de Datos de la Comunidad de Madrid. El gobierno de Esperanza Aguirre le nombró para ese puesto en el año 2010, y en calidad de presidente de la agencia autonómica, llegó a ser vocal del Consejo Consultivo de la Agencia Española de Protección de Datos.
