La Autoridad Catalana de Protección de Datos (APDCat) ha abierto un expediente sancionador contra Transportes Metropolitanos de Barcelona (TMB) por, presuntamente, haber cometido varias infracciones graves al tener desprotegidos durante meses numerosos datos confidenciales de trabajadores y de algunos departamentos de la empresa pública municipal. Según ha adelantado eldiario.es y ha confirmado la autoridad a la Agencia Catalana de Noticias (ACN), el expediente llega tras una denuncia del sindicato CGT y que se hayan comprobado indiciariamente los hechos. En concreto, varios trabajadores de la compañía detectaron que casi la totalidad de los casi 9.000 trabajadores podían acceder y descargar miles de documentos, datos, grabaciones y otros archivos confidenciales con solo poner el nombre de un trabajador en la intranet de la compañía.
Ante todas estas acusaciones, la operadora de transporte público de la ciudad asegura que analizará «detenidamente» la documentación y presentará alegaciones. La empresa pública ha destacado que en el último año se ha dado un «salto adelante muy importante» en protección de datos. El consejero delegado de TMB, Xavier Flores, apunta que la cuantía de la posible sanción económica es «de máximos», ya que, de acuerdo con la información de eldiario.es, haciendo referencia a la normativa, puede llegar a 15 millones de euros. Flores descarta que, si finalmente se impone una multa, se aproxime a este valor o, incluso, ha apuntado la posibilidad de que el expediente acabe archivándose.
Cinco infracciones graves y una muy grave
Entre la información a la que tenían acceso hay contratos de trabajo, datos de familiares, bajas y diagnósticos médicos, denuncias policiales, sentencias judiciales, actas de conciliación en despidos o incluso convenios de separación matrimonial. En esta línea, según indican, los trabajadores también tenían acceso solo poniendo el nombre de un trabajador a información delicada del departamento de recursos humanos y del jurídico, expedientes de la Oficina Antifraude de Cataluña, denuncias al canal ético de la empresa, actas del consejo de administración, expedientes de la fiscalía, demandas laborales, correos electrónicos o informes de riesgos psicosociales, así como un caso de supuesto acoso laboral. Una serie de hechos que el APDCat considera una infracción grave en la protección de datos.
Según informa eldiario.es, la autoridad catalana ha detectado cinco infracciones graves y una muy grave relacionadas con TMB. El expediente recrimina que la compañía no notificó ninguna violación de seguridad en el momento que aparecieron las primeras, la primavera de 2024. También recrimina que TMB no realizó ningún análisis de riesgos cuando en 2021 pasó a utilizar el almacenamiento en la nube y que tampoco implementó las medidas de seguridad que había prometido. La operadora recuerda que el mismo organismo, a raíz de la actuación de TMB en el incidente del pasado mes de enero, les envió un escrito en el cual precisaba que se habían tomado medidas para solucionarlo y se «limitaban los riesgos con el cambio inmediato de configuración de público a privado, a fin de restringir el acceso únicamente a las personas autorizadas».
