Aunque se ha conocido ahora, fue hace algunos meses cuando se produjo un ciberataque que dejó expuestos datos e información de los titulares de las tarjetas de transporte público en Madrid.
Según han informado, en las bases de datos del Consorcio la información que hay disponible de los usuarios de tarjetas de transporte son datos personales y de contacto: nombre y apellidos, domicilio, localidad y provincia, código postal, correo electrónico y teléfono.
Custodiar tus datos, responsabilidad de la empresa
La entidad afectada, en este caso el Consorcio Regional de Transportes de Madrid, según la Organización de Consumidores y Usuarios (OCU), "está obligada, en cumplimiento de la normativa de protección de datos a avisar a la la Agencia Española de Protección de Datos (AEPD) en menos de 72 horas desde el problema de seguridad".
También debe comunicar, sin dilación, el problema de seguridad a los potenciales afectados (y de no hacerse así, ha de justificarse cualquier retraso), "pero la información sobre el robo de datos se ha conocido ahora... cuando han pasado varios meses. Esto es algo sorprendente, aunque legalmente la comunicación puede retrasarse si afecta a una investigación en curso, lo que quizá explique el retraso", señalan desde la OCU.
¿Cómo se debe comunicar un problema así?
Idealmente la comunicación debe ser directa (por teléfono, correo electrónico, SMS, correo postal…). Si esa comunicación supone un esfuerzo desproporcionado no justificado con los daños que se pudieran sufrir, podría sustituirse por comunicación indirecta a través de avisos públicos, "como ha sucedido ahora", explican.
La empresa que sufre una brecha de datos puede ser sancionada por la AEPD, al pensar que "no se han custodiado correctamente bien los datos personales de sus clientes... pero al final, son los clientes los que sufren las consecuencias y no reciben ninguna compensación".
Lo que puede pasar ahora
Un robo de datos personales, como el que han sufrido los titulares de la tarjeta de transporte, tiene efectos en los usuarios afectados. Puede suponer perjuicios: al hacerse con tus datos de contacto, pueden recibir comunicaciones no deseadas o ser víctima de campañas de phishing o suplantación.
"Podrían incluso llegar a exponerse a sufrir algún daño material, si caen en algún ciberengaño". Desde la OCU insisten en que,"aunque se pongan en contacto contigo, extremes las precauciones con las informaciones que facilitas: ni el Consorcio de Transportes, ni entidades como Hacienda, tu banco o el ayuntamiento te pedirán por email o SMS ninguna contraseña ni datos bancarios. No se te ocurra dárselos".