Comunicación preventiva de un incidente de seguridad de datos personales sufrido por Aqualia
El Ayuntamiento de Lleida comunica a la ciudadanía un ataque informático de tipo ransomware (secuestro de datos) sufrido por la concesionaria del Servicio Municipal de Abastecimiento de Agua Potable, Grupo FCC-Aqualia.
Aqualia ha detallado a la Paeria las medidas técnicas y legales necesarias para la gestión del incidente que ha aplicado desde que lo detectó y lo comunicó al Ayuntamiento, el pasado 30 de mayo.
Pese a que el ataque se produjo en los servidores del concesionario, parte de dichos datos personales son responsabilidad del Ayuntamiento de Lleida como administración competente y titular del servicio municipal de abastecimiento y saneamiento de aguas.
En este sentido, la comunicación pública de este incidente corresponde al Ayuntamiento de Lleida y se realiza de acuerdo y con los plazos indicados por la Agencia Catalana de Protección de Datos Personales y el Reglamento General de Protección de Datos (RGPD).
A fecha de hoy, se desconoce el alcance total de las categorías de datos personales afectadas así como los efectos sobre las mismas. Por razones de prudencia, se consideró el peor escenario y la empresa señaló que las informaciones comprometidas son las siguientes, del padrón de los clientes del servicio de suministro de agua: nombres y apellidos; números de documentos de identidad; fechas de nacimiento; datos de contacto y datos del número de cuenta bancaria.
El ciberataque produjo dos consecuencias concretas sobre los datos anteriormente señalados.
- Se comprometió la disponibilidad de los datos, lo que significa que durante un corto período de tiempo la empresa concesionaria no dispuso del acceso a estos. Dicho acceso se recuperó en las primeras horas del incidente sin que hubiera afectación en el servicio.
- No se tiene constancia de que se haya comprometido la confidencialidad de los datos personales afectados,mediante el acceso no autorizado a los mismos. Sin embargo, dicho acceso es posible, por lo que se continuará monitorizando la situación, en búsqueda de cualquier evidencia en este sentido. A fecha de hoy no se ha detectado, por parte del servicio de ciber-vigilancia de la empresa concesionaria, la publicación o revelación de ningún dato relacionado con este incidente como tampoco se ha puesto de manifiesto la existencia o sospecha de una exposición pública de ninguno de los datos personales por parte de las autoridades competentes.
Los hechos se han puesto en conocimiento de la Agencia Española de Protección de Datos y de la Autoridad Catalana de Protección de Datos. A fecha de hoy se sigue con la oportuna investigación y vigilancia.
La empresa pone a disposición de la ciudadanía el correo electrónico de atención para temas de protección de datos personales, para informaciones complementarias o para comunicar si han comprobado algún efecto del ataque informático: protecciondatos@aqualia.es
Tanto el Ayuntamiento de Lleida como la empresa concesionaria han adoptado medidas para solventar esta violación de seguridad e intentar paliar los efectos del incidente de seguridad de los datos personales. La Paeria ha hecho un seguimiento continuado de la investigación respecto de la afectación de los datos que son responsabilidad del Ayuntamiento de Lleida y ha realizado las notificaciones pertinentes a la Autoritat Catalana de Protecció de Dades. FCC-Aqualia ha puesto en marcha medidas organitzativas, legales y técnicas.