La Agencia Española de Protección de Datos (AEPD) ya investiga a Ayesa tras admitir a trámite una denuncia contra la multinacional de consultoría e ingeniería por su gestión de la información hacia los trabajadores tras el ciberataque que sufrió a finales de abril y que provocó que datos personales sensibles de la plantilla fueran expuestos en la dark web por el grupo de ciberdelicuentes Black Basta. A esta denuncia se suma ahora la presentada por el comité de empresa de Ayesa AT en Sevilla, una de las filiales más importantes de la compañía, formalizada el pasado lunes 24 de junio.

Las dos denuncias tienen algo en común, que se interponen ante la AEPD por vulnerar el artículo 34 del reglamento a la hora de comunicar la violación de la seguridad de los datos personales al interesado. La primera fue interpuesta el pasado 16 de mayo por el representante del sindicato ASC y fue admitida a trámite el pasado 26 de mayo, al considerar que “a tenor de la información preliminar de la que dispone, se aprecian indicios racionales de la existencia de una infracción en relación con los procedimientos que tramita la AEPD, sin perjuicio de lo que se determine en el curso de la tramitación”.

En la denuncia, tal y como recoge la resolución a la que ha tenido acceso Viva, firmada por la directora de la Agencia, Mar España, los trabajadores de Ayesa Advanced Technologies se habían visto afectados por el ciberincidente y la empresa “habría informado a los empleados de que sólo han quedado expuestos los datos de 35 de ellos pero que que a través de terceros, han tenido conocimiento de que han sido muchos más los trabajadores afectados y a los que la entidad no ha comunicado nada”. También señala la existencia de “algunas comunicaciones de la entidad Enel, según la parte reclamante, a “trabajadores de Ayesa que prestan su servicio para la empresa Enel” indicando que sus credenciales podrían haberse visto comprometidas”.

Esta denuncia fue interpuesta dos semanas antes de que Black Basta confirmara su amenaza y publicara en su blog de la dark web los 4,5 terabytes de datos que había sustraído a Ayesa, entre los que se encontraban, proyectos relevantes para la compañía como los de Perú o Panamá, actas de accionistas, reparto de dividendos, escrituras, revocación de poderes, infinidad de proyectos de ingeniería (puentes, carreteras, desaladoras) sin olvidar que ya se hizo pública una relación de una treintena de trabajadores, de los cuales disponía de sus DNI, pasaportes o tarjetas de identificación, incluyendo hasta un montaje con las fotografías de esa documentación. Es más, hasta había documentación de los máximos dirigentes de la compañía, como son José Luis Manzanares y otros directivos de la compañía.

La nueva denuncia

A esta denuncia se suma ahora la presentada el lunes 25 de junio por el comité de empresa de Ayesa AT Sevilla, que lidera UGT, y que ha venido precedida por un análisis jurídico de la actuación de la empresa, en el que se ha determinado que, si bien cumplió en un primer momento el protocolo a seguir, posteriormente no había cumplido con la obligatoriedad de comunicar la exposición de datos sensibles a todos los trabajadores afectados.

La decisión de presentar la denuncia fue solicitada por el sindicato minoritario ASC en un comité de empresa extraordinario y ratificado por todos los representantes, aunque no será la única acción que se llevará a cabo, según ha confirmado a Viva el presidente del comité de empresa, Miguel Marín, de UGT.

Así, este sindicato se hará cargo del resto de las actuaciones judiciales a las que podría sumarse posteriormente el comité de empresa, que debe ratificarlo en asamblea. Así, se estudia una posible “demanda penal, denuncia en la Inspección de trabajo y acciones para que la empresa asuma el tiempo que requiera la persona trabajadora para ir a la Policía a presentar la denuncia y renovar la documentación expuesta”.

La interposición de la denuncia ante la Inspección de Trabajo se centra en la negativa de la empresa de poner “a disposición de los trabajadores y trabajadoras de los medios necesarios para poder realizar nuestro trabajo diario”, como ya se anunció en el último comité extraordinario.

Consejos a los afectados

El comité de empresa también se ha puesto en contacto con el INCIBE para conocer cuáles son las pautas a seguir por los trabajadores afectados, entre las que se encuentra la presentación de una denuncia ante la Policía Nacional o Guardia Civil en el caso de verificación que una imagen del DNI ha sido robada y la renovación del documento.

Además, se ha recomendado contactar con el CIRBE del Banco de España para “verificar que no hay un producto bancario contratado a nuestro nombre sin nuestro conocimiento” y, de forma paralela, “darnos de alta en el servicio PhisingAlert de la Dirección General de Ordenación del Juego del Ministerio de Consumo”, con el fin de evitar que sufran suplantación de identidad en cualquier tipo de juego online.