La EMT se librará de una multa de hasta diez millones por ser empresa pública

Como se recordará, los hechos se remontan a septiembre de 2019. En 20 frenéticos días, 4,04 millones de euros desaparecieron de las cuentas públicas de la empresa municipal, robados por una trama internacional de ladrones que consiguió engañar, mediante técnicas de ingeniería social, a una directiva, la primera despedida de forma fulminante. Aunque la tesis ya aceptada es que no hubo ataque informático a la empresa, la AEPD afea a los gestores de la misma la falta de vigilancia. Dice que faltaban «las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales». «Ello es así, tras constatarse que no ha sido capaz de garantizar un procesamiento de los datos personales apropiado a los riesgos derivados de su tratamiento, lo que pone de manifiesto una serie de vulnerabilidades en las medidas de seguridad implantadas. La ausencia de medidas de seguridad adecuadas en función del riesgo, relacionada con la actividad pública de la entidad investigada, agrava el reproche culpabilísimo y sancionador de la negligente conducta llevada a cabo», dice la agencia.

«Del procedimiento analizado se revelan evidencias respecto a que las medidas de seguridad, tanto de índole técnica como organizativas, con las que contaba la entidad investigada en relación con los datos que sometía a tratamiento, no eran las adecuadas, tras la superación por terceras personas de las políticas de seguridad implantadas», indica la agencia.

Así las cosas, la entidad cree que la EMT pudo cometer una «presunta infracción del artículo 32 del Reglamento General de Protección de Datos», que habla precisamente de los controles que debe realizar cualquier persona jurídica para evitar un uso inadecuado de datos personales dentro de la corporación. Si la instructora del caso, Inés Amelia Olías de Lima Vallilengua, así lo estima, la empresa podría enfrentarse a una apercibimiento, librándose de una multa que podría llegar a los 10 millones de euros. Sin embargo, al ser una administración pública, el régimen orgánico español la libera de una sanción a la que la empresa difícilmente podría hacer frente.

La reapertura del caso llega tras el recurso presentado al principio del verano por el PP, que adjuntó auditorías internas y de la Agencia Valenciana Antifraude que la AEPD ha valorado para reabrir la cuestión, cerrada tras entender que todo lo que pasó fue culpa de tácticas de ingeniería social. Se recordará que la directiva despedida, Celia Zafra, fue engañada para enviar los DNI de los entonces gerente y directora de gestión, Josep Enric Garcia Alemany y María Rayón, respectivamente, a los ladrones, que se estaban haciendo pasar por un abogado de Deloitte, lo que dio la confianza suficiente a Zafra para saltarse los protocolos de pago a proveedores. Además, en una entrevista con este diario, Zafra admitió que las claves de la banca electrónica se compartían entre distintos directivos.