La dirección del comité de empresa de la multinacional de consultoría e ingeniería Ayesa ha confirmado a Viva Sevilla que los servicios jurídicos están estudiando la presentación de una denuncia ante la Agencia Española de Protección de Datos (AEPD) por vulneración del artículo 34 del reglamento a la hora de comunicar la violación de la seguridad de los datos personales al interesado, después del ciberataque de Black Basta y la confirmación de que están en la dark web datos de al menos 35 de los empleados de la compañía.
La decisión de presentar la denuncia llega después de la celebración de un comité de empresa extraordinario, solicitado por el sindicato ASC y celebrado el pasado viernes, un mes después de que Ayesa sufriera un ciberataque ransomware y antes de que Black Basta, el grupo de ciberdelincuentes que lo reivindicaron, amagaran con publicar los 4,5 terabytes de datos en su blog.
Las fotografías con la relación de los trabajadores, el montaje con los DNIS y pasaportes de los empleados y otra documentación fueron retirados al poco tiempo y, hasta el ciberexperto Rafael López, que inicialmente entendía que había sido por un ataque DDos, ahora comparte la opinión de Adrián Ramírez, de Dolbuck, de que finalmente la empresa ha pagado por no hacerlos públicos.
En este ambiente, ASC, que no es mayoritario en la empresa, sí que entendió que debía celebrarse un comité extraordinario que abordara las consecuencias del ciberataque, más aún ante el “oscurantismo” de la dirección de la empresa y la constatación de que los datos de los trabajadores, al menos 35 pero se desconoce si de alguno más, “estén circulando por la dark web puestos a disposición de ciberdelincuentes”, una brecha de datos cuyo alcance aún no está claro.
De esa reunión ha dado cuenta ASC en su web, denunciando la actitud del resto de sindicatos mayoritarios, UGT y CCOO, aunque finalmente hubo respaldo unánime para que se presentara una de las propuestas de la central sindical convocante, la presentación de una denuncia contra la empresa ante la Agencia Española de Protección de Datos por vulnerar el artículo 34 de su reglamento por el incumplimiento de la obligación de informar a los trabajadores de sus datos personales que hayan podido ser expuestos tras el ciberataque.
La dirección del comité de empresa ha confirmado este extremo y ha señalado que se está “estudiando” por los servicios jurídicos, aunque no es la única denuncia en estudio, puesto que también se aprobó “por unanimidad” la propuesta de UGT de “iniciar los pasos para interponer una denuncia en Inspección de Trabajo o una demanda ante la jurisdicción social contra la empresa por no poner a disposición de los trabajadores y trabajadoras de los medios necesarios para poder realizar nuestro trabajo diario”.
También se aprobó la presentación de un escrito al departamento de Recursos Humanos para reclamar los archivos de cotizaciones a la Seguridad Social (RLC y RNT) de la plantilla “tal y como lo estaban haciéndolo antes del ciberataque, pues, desde que se produjo la afectación del servidor en el que se encontraban dichos ficheros con datos sensibles de la plantilla, la empresa los había puesto en un recurso sharepoint sin posibilidad de descargarlos ni tratarlos (por ejemplo, realizar búsqueda de información dentro del fichero) y solo se mostraba una especie de "vista previa" con mala calidad”.
Lo que no consiguió el respaldo del comité de empresa fue la propuesta de ASC para convocar una asamblea informativa “para explicarles a los trabajadores las consecuencias sobre la exposición pública de sus datos y asesorarles ante las acciones que pueden tomar en defensa de sus derechos, así como aclararles todas las dudas que puedan tener”.