L’Autoritat Catalana de Protecció de Dades (APDCat) ha obert un expedient sancionador contra Transports Metropolitans de Barcelona (TMB) per, presumptament, haver comès diverses infraccions greus en tenir desprotegides durant mesos nombroses dades confidencials de treballadors i d’alguns departaments de l’empresa pública municipal. Segons ha avançat eldiario.es i ha confirmat l’autoritat a l’Agència Catalana de Notícies (ACN), l’expedient arriba després d’una denúncia del sindicat CGT i que s’hagin comprovat indiciàriament els fets. En concret, diversos treballadors de la companyia van detectar que gairebé la totalitat dels quasi 9.000 treballadors podien accedir i descarregar milers de documents, dades, gravacions i altres fitxers confidencials només posant el nom d’un treballador a la intranet de la companyia.
Davant totes aquestes acusacions, l’operadora de transport públic de la ciutat assegura que analitzarà “detingudament” la documentació i presentarà al·legacions. L’empresa pública ha destacat que en el darrer any s’ha fet un “salt endavant molt important” en protecció de dades. El conseller delegat de TMB, Xavier Flores, apunta que la quantia de la possible sanció econòmica és “de màxims”, ja que, d’acord amb la informació d’eldiario.es, fent referència a la normativa, pot arribar a 15 milions d’euros. Flores descarta que, si finalment s’imposa una multa, s’apropi aquest valor o, fins i tot, ha apuntat la possibilitat que l’expedient acabi arxivant-se.
Cinc infraccions greus i una molt greu
Entre la informació a la qual tenien accés hi ha contractes de treball, dades de familiars, baixes i diagnòstics mèdics, denúncies policials, sentències judicials, actes de conciliació en acomiadament o fins i tot convenis de separació matrimonial. En aquesta línia, segons indiquen, els treballadors també tenien accés només posant el nom d’un treballador a informació delicada del departament de recursos humans i del jurídic, expedients de l’Oficina Antifrau de Catalunya, denúncies al canal ètic de l’empresa, actes del consell d’administració, expedients de la fiscalia, demandes laborals, correus electrònics o informes de riscos psicosocials, així com un cas de suposat assetjament laboral. Un seguit de fets que l’APDCat considera una infracció greu en la protecció de dades.
Segons informa eldiario.es, l’autoritat catalana ha detectat cinc infraccions greus i una de molt greu relacionades amb TMB. L’expedient recrimina que la companyia no els va notificar cap violació de seguretat en el moment que van aparèixer les primeres, la primavera de 2024. També recrimina que TMB no va fer cap anàlisi de riscos quan el 2021 va passar a utilitzar l’emmagatzematge al núvol i que tampoc va implementar les mesures de seguretat que havia promès. L’operadora recorda que el mateix organisme, arran de l’actuació de TMB en l’incident del passat mes de gener, va enviar-los un escrit en el qual precisava que s’havien pres mesures per solucionar-ho i es “limitaven els riscos amb el canvi immediat de configuració de públic a privat, a fi de restringir l’accés únicament a les persones autoritzades”.
