Comunicació preventiva d’un incident de seguretat de dades personals sofert per Aqualia

L’Ajuntament de Lleida comunica a la ciutadania un atac informàtic de tipus ransomware (segrest de dades) sofert per la concessionària del Servei Municipal d’Abastament d’Aigua Potable, Grup FCC-Aqualia.

Aqualia ha detallat a la Paeria les mesures tècniques i legals necessàries per a la gestió de l'incident i que ha dut a terme per fer-hi front des que el va detectar i el va comunicar a l’Ajuntament el passat 30 de maig.

Malgrat que l’atac es va produir en els servidors del concessionari, part de les esmentades dades personals són responsabilitat de l’Ajuntament de Lleida com a administració competent i titular del servei municipal d’abastament i sanejament d’aigües.

En aquest sentit, la comunicació pública d’aquest incident correspon a l’Ajuntament de Lleida i es realitza d’acord i amb els terminis indicats per l’Autoritat Catalana de Protecció de Dades Personals i el Reglament General de Protecció de Dades (RGPD).

A data d’avui, es desconeix l’abast total de les categories de dades personals afectades així com els efectes sobre les mateixes. Per raons de prudència, s’ha considerat el pitjor escenari i l’empresa ha assenyalat que les informacions compromeses són les següents, del padró dels clients del servei de subministrament d’aigua: noms i cognoms; números de documents d’identitat; dates de naixement; dades de contacte i dades del número de compte bancari.

El ciberatac va produir dues conseqüències concretes sobre les dades assenyalades anteriorment.

1. Es va comprometre la disponibilitat de les dades, per la qual cosa durant un curt període de temps l’empresa concessionària no va disposar-ne d’accés. Aquest es va recuperar en les primeres hores de l'incident sense que hi hagués afectació en el servei. 

2. No es té constància que s’hagi compromès la confidencialitat de les dades personals afectades, mitjançant l'accés no autoritzat a les mateixes. No obstant això, aquest accés és possible, per la qual cosa es continuarà monitoritzant la situació i es buscarà qualsevol evidència en aquest sentit. A data d’avui no s’ha detectat per part del servei de ciber-vigilància de l’empresa concessionària la publicació o revelació de cap dada relacioanda amb aquest incident. Les autoritats competents tampoc han posat de manifest l’existència o la sospita d’una exposició pública de cap de les dades personals.

Els fets s’han posat en coneixement de l'Agencia Española de Protección de Datos i de l’Autoritat Catalana de Protecció de Dades. A data d’avui se segueix amb la investigació i vigilància oportuna.

L’empresa posa a disposició de la ciutadania el correu electrònic d’atenció per a temes de protecció de dades personals, per a informacions complementàries o per comunicar si han comprovat algun efecte de l’atac informàtic: protecciondatos@aqualia.es

Tant l’Ajuntament de Lleida com l’empresa concessionària han adoptat mesures per resoldre aquesta violació de seguretat i intentar pal·liar els efectes de l’incident. La Paeria ha fet un seguiment continuat de la investigació sobre l’afectació de les dades que són responsabilitat de l’Ajuntament de Lleida i ha realitzat les notificacions pertinents a l’Autoritat Catalana de Protecció de Dades. FCC-Aqualia ha posat en marxa mesures organitzatives, legals i tècniques.