Protección de Datos abre expediente sancionador contra Ayesa por el ciberataque
La Agencia Española de Protección de Datos (AEPD) acaba de abrir expediente sancionador a Ayesa por su gestión de la información hacia los trabajadores tras el ciberataque que sufrió a finales de abril de 2024 que provocó que datos personales sensibles de la plantilla fueran expuestos en la dark web por el grupo de ciberdelicuentes Black Basta.
La denuncia se interpuso ante la AEPD por vulnerar el artículo 34 del reglamento a la hora de comunicar la violación de la seguridad de los datos personales al interesado. Se presentó el 16 de mayo de 2024 por el representante del sindicato ASC y fue admitida a trámite el 26 de mayo, al considerar que “a tenor de la información preliminar de la que dispone, se aprecian indicios racionales de la existencia de una infracción en relación con los procedimientos que tramita la AEPD, sin perjuicio de lo que se determine en el curso de la tramitación”.
Ahora, la subdirectora general de Inspección de Datos, Olga Pérez, comunica al representante sindical que “En relación con la reclamación presentada y admitida a trámite por esta Agencia, le informamos de la incoación del expediente nº EXP202409350. Asimismo, le comunicamos que con fecha 18 de febrero de 2026 se ha dictado acuerdo de inicio en el citado expediente. El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo sin que se haya dictado y notificado resolución se producirá su caducidad y, en consecuencia, el archivo de actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD”, dice textualmente el escrito al que ha tenido acceso Viva Sevilla.
En la denuncia, como ya adelantó Viva Sevilla, se explica que los trabajadores de Ayesa Advanced Technologies se habían visto afectados por el ciberincidente y la empresa “habría informado a los empleados de que sólo han quedado expuestos los datos de 35 de ellos pero que que a través de terceros, han tenido conocimiento de que han sido muchos más los trabajadores afectados y a los que la entidad no ha comunicado nada”. También señala la existencia de “algunas comunicaciones de la entidad Enel, según la parte reclamante, a “trabajadores de Ayesa que prestan su servicio para la empresa Enel” indicando que sus credenciales podrían haberse visto comprometidas”.
Esta denuncia fue interpuesta dos semanas antes de que Black Basta confirmara su amenaza y publicara en su blog de la dark web los 4,5 terabytes de datos que había sustraído a Ayesa, entre los que se encontraban, proyectos relevantes para la compañía como los de Perú o Panamá, actas de accionistas, reparto de dividendos, escrituras, revocación de poderes, infinidad de proyectos de ingeniería (puentes, carreteras, desaladoras) sin olvidar que ya se hizo pública una relación de una treintena de trabajadores, de los cuales disponía de sus DNI, pasaportes o tarjetas de identificación, incluyendo hasta un montaje con las fotografías de esa documentación. Es más, hasta había documentación de los máximos dirigentes de la compañía, como son José Luis Manzanares y otros directivos de la compañía.
Consejos a los afectados El comité de empresa también se ha puesto en contacto con el INCIBE para conocer cuáles son las pautas a seguir por los trabajadores afectados, entre las que se encuentra la presentación de una denuncia ante la Policía Nacional o Guardia Civil en el caso de verificación que una imagen del DNI ha sido robada y la renovación del documento. Además, se ha recomendado contactar con el CIRBE del Banco de España para “verificar que no hay un producto bancario contratado a nuestro nombre sin nuestro conocimiento” y, de forma paralela, “darnos de alta en el servicio PhisingAlert de la Dirección General de Ordenación del Juego del Ministerio de Consumo”, con el fin de evitar que sufran suplantación de identidad en cualquier tipo de juego online.