TMB se enfrenta a una multa millonaria por tener al descubierto durante años datos confidenciales de sus empleados
La exposición durante años de datos confidenciales de la plantilla de TMB, la empresa pública que gestiona el metro y el bus en Barcelona, podría acabar en una cuantiosa sanción de hasta 15 millones de euros para la compañía.
La Autoridad Catalana de Protección de Datos (APDCat) ha abierto un expediente sancionador a la empresa, al que ha tenido acceso elDiario.es, en el que pone sobre la mesa, sin precisar por ahora una cifra, una sanción que podría alcanzar hasta el 4% de la facturación de la compañía.
Tal y como desveló esta redacción el pasado febrero, un error en la configuración de la intranet de TMB permitió que cualquiera de los casi 9.000 empleados de la compañía pudiera acceder, y descargar, cientos de gigas de información sensible de buena parte de sus compañeros.
Según el expediente, la información expuesta iba desde documentación personal hasta datos de familiares de los empleados, pasando por contratos de trabajo, solicitudes de baja, informes y diagnósticos médicos, denuncias policiales, sentencias judiciales, actas de conciliación en despidos o incluso convenios reguladores de regímenes de separación conyugal.
Los trabajadores, a su vez, podían consultar información sensible del departamento de recursos humanos y del de compliance: expedientes de la Oficina Antifrau de Catalunya, denuncias al Canal Ético de la empresa, actas del Consejo de Administración, expedientes de Fiscalía, demandas laborales, informes de riesgos psicosociales, correos electrónicos…
Estaba al descubierto, por ejemplo, toda la documentación referente a un caso de presunto acoso laboral en TMB: informes de investigación, denuncias, resoluciones e incluso grabaciones de testigos entrevistados durante la instrucción del caso.
Protección de Datos, en su escrito, identifica al menos seis infracciones por parte de TMB a la hora de proteger los datos, cinco de ellas las considera “graves” y una de ellas “muy grave”.
El informe reprocha “la inacción” de la compañía para solucionar la brecha de seguridad a pesar de “las advertencias internas” sobre la exposición de datos que supuestamente recibió la empresa por parte de empleados.
Al menos dos trabajadores de TMB tienen actualmente el estatus de persona protegida por parte de la Oficina Antifraude de Catalunya para blindarles de represalias por haber denunciado la exposición de información sensible de sus compañeros.
La APDCat también señala que TMB no le notificó que había una violación de seguridad cuando en abril y mayo de 2024 llegaron a la compañía las primeras advertencias sobre la exposición de datos confidenciales.
El informe también asegura que al menos seis trabajadores de la empresa se descargaron información confidencial del servidor. Uno de ellos se llegó a descargar casi 1.800 ficheros de la intranet de TMB el pasado enero. También hubo un bufete de abogados externo así como letrados de la compañía que descargaron en su ordenador datos sensibles de empleados.
El expediente de Protección de Datos también imputa a TMB no haber llevado a cabo el debido análisis de riesgos cuando en 2021 pasó a utilizar el sistema de almacenamiento en la nube en el que ha habido la brecha de seguridad.
La empresa pública, siempre según el expediente, tampoco implementó las medidas de seguridad que aseguró a Protección de Datos que había instaurado después de haber sido notificada de la descarga de ficheros: siete meses más tarde todavía seguía habiendo información confidencial accesible para otros empleados.
Contactados por esta redacción, desde TMB señalan que “analizarán detenidamente” el expediente y presentarán alegaciones a los hechos imputados. Recuerdan, a su vez, que el documento recoge hechos de los últimos cuatro años y que desde la compañía se ha dado “un salto adelante muy importante” durante el último año en cuanto a protección de datos de la empresa, reconocido por la propia APDCat.
0