Aún queda pendiente de restablecer muchos de los servicios ciudadanos
Aún queda pendiente de restablecer muchos de los servicios ciudadanos - E.C.
Ciberataque

No se pidió rescate al Ayuntamiento de Jerez porque el «virus se cortó a tiempo»

El Consejo de Transparencia y Protección de Datos de Andalucía reclama que se le notifique la posible violación de datos personales tras el bloqueo del sistema informátivo municipal

Jerez Actualizado: Guardar
Enviar noticia por correo electrónico

«Es un ataque a nivel internacional. Hablamos de delincuencia cibernética. Antes se robaban los bancos con pistolas y hoy en día tenemos esta amenaza». Así se expresaba este martes la delegada de Hacienda y teniente de alcaldesa en el Ayuntamiento de Jerez, Laura Álvarez, quien alababa el proceso llevado a cabo desde que se detectara la presencia del virus «Ryuk» en el sistema informático del Consistorio jerezano, hace ya cerca de una semana. Se ha acudido al Ministerio del Interior, «se ha actuado según normativa y siempre con dos premisas: seguridad, aunque se vaya despacio hay que ir a paso firme, ni ha habido fuga de datos, ni ha salido de los servidores la información que se tenía custodiada». Por el momento no se han cuantificado daños, según Álvarez, porque esto es «como un ataque terrorista. Se está buscando solucionar la situación».

No es un ataque dirigido. Es una amenaza que llega desde Corea, Estados Unidos, según la información que se maneja. «El rescate todavía no se ha solicitado porque se ha cortado el virus a tiempo», informaba uno de los técnicos que acompañaba a la delegada. Una afirmación que contradice lo adelantado con anterioridad donde se afirmaba que sí se había solicitado rescate. «Aparecen indicios contrastados que indican que en la fase siguiente habrían pedido el rescate».

El objetivo es alcanzar el 80 por ciento de la operatividad en los servicios que se ofrecen a la ciudadanía. Son 50 servidores y adelantar cuándo estarán al cien por cien es «arriesgado», según los técnicos municipales.

Cuando se restablezca la normalidad, se elaborará un diagnóstico y de ahí se tomarán las decisiones, afirmó Álvarez. No obstante, en estos últimos cuatro años, «hemos hecho la mayor inversión».

Pidió a los grupos municipales de la Corporación la corresponsabilidad y no alertar a la ciudadanía, sino actuar con precaución.

El daño se ha hecho al no poder dar el servicio del día a día. Sí es meritorio, según Álvarez, que no haya habido ni fugas ni se hayan aceptado chantajes.

Por otro lado, a raíz del ciberataque sufrido la pasada semana, el Consejo de Transparencia y Protección de Datos de Andalucía se ha dirigido al Ayuntamiento de Jerez a los efectos de recordarle que es la autoridad a la que debe notificar la posible violación de seguridad de datos personales.

El Consejo, conforme a la Ley de Transparencia Pública de Andalucía, es la autoridad pública independiente de control en materia de protección de datos en nuestra Comunidad Autónoma, habiendo asumido dicha competencia el pasado 1 de octubre. En consecuencia, es el órgano supervisor de la aplicación del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), que tiene por objeto la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de los datos personales.

En el articulado del citado Reglamento se establece que, en caso de producirse una violación de la seguridad de los datos personales, debe notificarse la misma a la autoridad competente dentro de un plazo de 72 horas después de que el responsable del tratamiento haya tenido constancia de ella. A estos efectos, el Consejo dispone en su web (www.ctpdandalucia.es) de un formulario para facilitar la realización de esta notificación a los responsables.

Por otro lado, el Consejo recuerda al Ayuntamiento la obligatoria comunicación a la autoridad de control de la designación del Delegado de Protección de Datos y la difusión pública de sus datos de contacto. Y comunica asimismo a la entidad municipal que tanto el incumplimiento del deber de notificación a la autoridad de control como la falta de comunicación a la misma del nombramiento del Delegado de Protección de Datos son “infracciones” previstas en la Ley Orgánica de Protección de Datos Personales que están sujetas al régimen sancionador establecido al respecto.

Finalmente, el Consejo traslada al Ayuntamiento de Jerez su total disposición para aclarar cualquier aspecto relacionado con la notificación de la violación de seguridad y, en general, con el cumplimiento de la normativa reguladora de la protección de datos personales.