Un sindicat de Mossos hackejat paga una multa i indemnitza diversos agents

El Sindicat de Mossos d'Esquadra (SME) ha pagat una factura alta per l'atac informàtic patit el 2016 que va deixar al descobert les dades personals de 5.540 agents (nom, DNI, telèfon, adreça i comptes bancaris). L'Agència Espanyola de Protecció de Dades el va sancionar amb 22.000 euros. A més, el sindicat va arribar a un acord amb 10 agents que el van denunciar per la difusió dels seus detalls personals, que va indemnitzar amb 4.500 euros cadascun, segons fonts coneixedores de la negociació. L'SME assegura que ha reforçat la seguretat del seu web.

El 18 de maig del 2016, el Sindicat de Mossos d'Esquadra es va llevar amb el compte de la xarxa social de Twitter i la seva pàgina web hackejats. “Hem decidit deixar de fer la feina bruta com a soldats rasos del capitalisme”, deia un comunicat penjat a la seva pàgina corporativa, on es parlava de la refundació del sindicat i criticava casos com el de Juan Andrés Benítez, Ester Quintana o Ciutat morta. A Twitter, es repetien els missatges a favor dels drets humans i en contra de la tortura.

També es van difondre enllaços on constaven dades personals de 5.540 mossos, com el nom, el DNI, l'adreça, el telèfon, l'adreça electrònica, el nombre d'identificació policial (TIP) i, fins i tot, el seu compte bancari. Els Mossos van obrir una investigació penal, i van posar a la disposició dels agents afectats un telèfon on els informaven de les mesures que podien prendre i on podien avisar de qualsevol anomalia que haguessin detectat en el seu moment. Alhora, al sindicat se li van obrir diversos fronts: el penal, contra els que el van hackejar, l'intern, per calmar els ànims i donar tranquil·litat als seus afiliats i no afiliats afectats per la filtració, i la seva responsabilitat per la possible negligència en la protecció de les dades dels agents.

Una de les primeres a reaccionar va ser l'Agència Espanyola de Protecció de Dades (AEPD), que va obrir una investigació per determinar si el sindicat havia actuat degudament en la protecció d'una base de dades tan delicada com aquesta, plena de detalls personals. L'agència, que va rebre diverses denúncies, va concloure que el sindicat no complia totes les mesures de seguretat.

En la resolució de l'agost del 2017, a la qual ha tingut accés aquest diari, l'AEPD considera que el sindicat va infringir diversos articles de la Llei de Protecció de Dades. Es refereix a la manca d'un “document de seguretat” en el tractament de les dades, destaca que no hi havia un “contracte escrit” per a la gestió i el manteniment del seu web, sinó que es feia “tàcitament” amb l'empresa Control Zeta. També detalla els “perjudicis ocasionats als denunciants”. A favor del sindicat, té en compte la seva “diligent” reacció després de l'atac informàtic, desconnectant immediatament els servidors de la xarxa.

L'SME va pagar la multa de l'agència, acollint-se a la reducció del 20% (17.600) del pagament voluntari. Malgrat tot, no va haver-hi un reconeixement de la responsabilitat (pel que podria haver-se beneficiat d'un descompte més gran) i va denunciar la sanció de l'Agència Espanyola de Protecció de Dades per la via judicial. El març d'aquest any, l'Audiència Nacional va desestimar el recurs interposat pel sindicat en considerar que el pagament voluntari implicava la renúncia a qualsevol recurs per la via civil.

Al pagament d'aquesta sanció s'hi suma l'acord al qual va arribar l'SME amb diversos agents que van denunciar el sindicat per la difusió de les seves dades personals. Quatre dies abans del judici que havia de celebrar el jutjat de primera instància número 57 de Barcelona, previst per a l'octubre del 2018, l'organització va arribar a un acord: va indemnitzar amb 45.000 euros 10 agents (4.500 a cadascun), segons fonts coneixedores del mateix.

L'SME, que ha declinat donar detalls dels processos oberts en ser una matèria que gestionen i coneixen a fons els seus advocats, assegura que han reforçat la seguretat del seu web. Malgrat tot, el sindicat considera que no existeix el risc zero i que tots els organismes estan exposats a aquest tipus d'atacs informàtics.

La causa penal contra els presumptes autors del hackeig segueix a l'espera de judici. Tres persones van ser detingudes, i posades posteriorment en llibertat, acusades d'un delicte de descobriment i revelació de secrets. Tots els sindicats de Mossos, a més de grups d'agents de forma particular, estan personats en la causa com a acusació particular.