Procedemos a relataros los sucesos con respecto a este asunto del ciberataque contra AYESA: -
Desde principios de mayo ASC solicita información a la empresa de lo que acontece y qué datos de los trabajadores se han visto comprometidos. -
El 7 de mayo AYESA AT remite un escrito a la representación legal y sindical de los trabajadores indicándonos que sólo tenían constancia de que se había comprometido la confidencialidad de datos personales de 35 personas que habían sido comunicados por la empresa, y que AYESA había informado tanto a la AEPD como había interpuesto una denuncia en la Policía Nacional. -
El 10 de mayo, al menos 13 compañeros y compañeras con los que AYESA ni se puso en contacto entonces, ni ahora, recibieron un comunicado del Equipo de Preparación para Ciberemergencias de ENEL con el asunto "credenziali compromesse" por el que se informa a estos trabajadores de AYESA AT de que las credenciales corporativas de ellos habían sido identificadas en la web, procediendo ENEL al bloqueo de las mismas. -
El 13 de mayo desde ASC se demandó información a AYESA AT sobre la situación ante el ciberataque señalando que no se había informado a estos trabajadores advertidos por ENEL. -
El 15 de mayo AYESA AT responde indicándonos que nada tenía que decirnos, como puedes apreciar por la parte que te extractamos de su respuesta. -
El 16 de mayo ASC registra denuncia ante la Agencia Española de Protección de Datos (AEPD) denunciando el incumplimiento de la obligación de información por parte de AYESA para con los trabajadores y las trabajadoras de cualquier centro de trabajo de la compañía cuya confidencialidad de sus datos personales estaba comprometida, siendo violado el artículo 34 del RGPD. -
El 16 de mayo nuestro delegado portavoz por ASC en el Comité de Sevilla comunica al presidente y al secretario del comité de empresa que, al disponer de más de un tercio de la representación del comité, convocábamos un pleno extraordinario del Comité de Empresa de Sevilla con el punto de orden del día: "Ransomware en AYESA AT y la exposición de los datos de los trabajadores y de las trabajadoras: Medidas a adoptar y votación de las mismas." -
El día 24 de mayo se celebra el pleno del comité extraordinario convocado gracias a que ASC dispone de más de un tercio de representación en el comité de empresa de Sevilla. En dicho pleno extraordinario ASC plantea tres propuestas: -
La interposición de una denuncia del comité de empresa de Sevilla ante la AEPD por violación de AYESA AT del derecho a la información de los compañeros y compañeras recogido en el artículo 34 del RGPD. Medida que fue aprobada de manera unánime. -
La celebración de asambleas informativas, propuesta que fue rechazada con los votos de CCOO y UGT. -
Entrega de un escrito a la empresa para que permita a los delegados del comité de empresa y a los delegados sindicales poder acceder a los documentos de cotizaciones a la Seguridad Social. Medida que fue también aprobada de manera unánime. -
Los días 29 y 30 de mayo los ciberdelincuentes filtran en la red 4.750.652 ficheros que se pueden visualizar en la web oscura, donde hay datos personales sensibles ─como, por ejemplo, información sensible relacionada con la salud─ de una mayoría de trabajadores actualmente y de personas que en su día fueron trabajadores de AYESA y ya no lo son, entre otras informaciones. -
El pasado día 24 de junio, de 12 a 13:30 horas, se celebró un pleno ordinario del comité de empresa, en las condiciones que todos vosotros y vosotras conocéis. En dicha reunión, en el punto de ruegos y preguntas, ASC demandó información al presidente del comité de empresa de Sevilla sobre si había metido ya la denuncia ante la AEPD. A lo que Miguel Marín respondió que había acudido al departamento jurídico de UGT que le indicó que sería mejor meter una denuncia en la Inspección de Trabajo y dio cita para ir a un abogado penalista para evaluar la situación, y que había hablado con la AEPD ─que le dijo que la empresa estaba actuando correctamente─ y el INCIBE. Desde ASC le recordamos lo que se votó y que estaba obligado a cumplir lo acordado, que era meter una denuncia ante la AEPD por la vulneración del artículo 34 del RGPD, algo que no estaba cumpliendo. -
El pasado día 24 de junio a las 18:21 horas el presidente del comité de empresa de Sevilla registró escrito de denuncia ante la AEPD, tal y como se acordó en el pleno del comité de hace un mes. Denuncia que deberá ser revisada por la AEPD para proceder su admisión a trámite. -
El pasado día 25 de junio, ASC recibió de parte de la AEPD un escrito donde nos informaron que han admitido a trámite la denuncia que nuestro sindicato presentó el pasado día 16 de mayo ante dicha agencia. -
En el día de ayer, 27 de junio a las 9:21 h, el presidente del comité de empresa nos informó por email de que el pasado 24 de junio interpuso la denuncia del Comité de Empresa de Sevilla en la AEPD. -
También ayer, 27 de junio a las 11:50 horas, la empresa nos entregó un escrito informando sobre la evolución del tratamiento del ciberataque. Indicándonos lo siguiente: -
Que la Empresa ha tomado "acciones y medidas correctivas" para contrarrestar el ciberataque. -
Que se han filtrado 4,5 TB, que según la empresa equivale al 1% del total de la información del Grupo AYESA. -
Que ha informado sobre la brecha de seguridad a: -
La Policía Nacional. -
Agencia de Protección de Datos (AEPD). -
INCIBE. -
A "cada uno de los titulares de los datos personales vulnerados en aquellos casos en los que sus derechos patrimoniales o morales pudiesen verse afectados de manera significativa (situaciones de alto riesgo)". -
Definen al colectivo de alto riesgo a aquellos que se han filtrado fotocopias de DNI, NIE o pasaporte; IBAN, tarjetas de crédito, certificados, firmas digitales; certificados médicos donde consten datos de salud y datos personales de menores o discapacitados. -
Que ha terminado con la revisión de lo publicado esta semana y que "en los próximos días finalizará el envío de los comunicados personales". A tenor de la descripción de los hechos, desde ASC os debemos señalar lo siguiente: -
A pesar de lo que nos señala la Empresa, somos conscientes de que un número muy importante de trabajadores y trabajadores tenemos nuestros datos sensibles comprometidos y que estamos en situación de riesgo no hemos sido informados por la empresa. -
Contrasta el tiempo que el Banco Santander, u otras empresas atacadas cibernéticamente, tardaron en informar a los afectados con el tiempo que está tardando ─pues todavía no ha terminado, ni mucho menos─ AYESA AT en informar a los afectados y en analizar lo filtrado. ¡Y eso que AYESA, según dice en sus comunicaciones, "destaca en ciberseguridad y en conocimiento en datos e IA"! -
Gracias a la acción sindical de ASC en AYESA AT hemos podido denunciar ante la Agencia de Protección de Datos la vulneración de nuestros derechos, de todos los trabajadores y las trabajadoras de todos los centros de trabajo en el Estado español, habéis podido estar informados en todo momento de lo que acontece y hemos podido hacer que el Comité de empresa de Sevilla se mueva para defender los derechos de los trabajadores y de las trabajadoras y que, aunque tarde, como consecuencia de la falta de diligencia del presidente del comité de empresa de Sevilla, también haya interpuesto denuncia. -
Y, por supuesto, sin la acción sindical de ASC la empresa, AYESA AT hubiera sido todavía mucho más opaca de lo que está siendo. Seguimos defendiendo tus derechos y seguimos informándote. |
0 comentarios:
Publicar un comentario